제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-4 아티팩트 분석 (메신저 분석)
본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.
해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.
1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
1. 운영체제 분석
1.1. PC 정보 분석
1.2. PC 사용자 분석
1.3. 설치된 프로그램 분석
2. 웹 아티팩트 분석
2.1. Chrome 분석
2.2. Edge 분석
2.3. Firefox 분석
3. Email 분석
4. 메신저 분석
4.1. Telegram 분석
4.2. WeChat 분석
5. 음원 파일 분석
5.1. 웹 다운로드 음원 파일
5.2. 이메일 첨부파일 음원 파일
5.3. 로컬에 존재하는 음원 파일
6. 안티포렌식 분석
5. 타임라인
6. 문제풀이
4. 메신저 분석
1.3. 설치된 프로그램 목록에서 확인된 메신저 프로그램은 Telegram Desktop 총 1개이다. 하지만 아래의 경로에서 WeChat과 관련된 메신저 프로그램의 데이터가 확인되었다.
| Partition3\Users\PC\Documents\WeChat Files |
표 30 메신저 분석에 추가적으로 발견된 경로
따라서 Telegram과 WeChat을 대상으로 분석한다.
4.1. Telegram 분석
Telegram 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.
| 텔레그램으로부터 다운로드 된 파일 - Partition3\Users\PC\Documents\Telegram\Telegram Images 텔레그램 채팅 데이터 - Partition3\Users\PC\AppData\Roaming\Telegram Desktop |
표 31 Telegram 분석에 사용된 경로
그림 24 FTK Imager을 통한 Telegram 분석에 사용된 폴더
텔레그램으로 부터 다운로드 된 파일(채팅창에서 오고 간 이미지 파일 등)은 Users\PC 폴더 하위 Telegram 폴더에서 확인할 수 있다.
| 폴더 이름 | 파일 개수 |
| Telegram Audio | 0 |
| Telegram Documents | 13 |
| Telegram Files | 2 |
| Telegram Images | 645 |
| Telegram Storires | 2 |
| Telegram Videos | 0 |
표 32 Telegram 폴더 내 정보
해당 폴더에서는 총 662개의 파일이 발견되었으며, 세부 내용은 [별첨 6 – Telegram 생성 파일 목록][1] 으로 첨부한다.
Telegram Images 폴더 내에서 계좌이체와 관련된 흔적은 3개 발견되었다. 아래는 계좌이체와 관련된 흔적에 대한 설명이다.
 |
파일명 | -6163569621186231549_121.jpg |
| 파일 크기 | 46,328 바이트 | |
| 생성 시간 | 2024년 8월 7일 수요일, 오후 10:04:05 | |
| 수정 시간 | 2024년 8월 5일 월요일, 오후 9:28:14 | |
| 접근 시간 | 2024년 8월 7일 수요일, 오후 10:04:05 | |
| MD5 | A27355FDD3B79DC659722F0B3FDD1655 | |
| SHA-1 | E43E6D9562A1EA635F47D7E36F8573BC0845C9AE |
표 33 Telegram Images 폴더 내 -6163569621186231549_121.jpg 파일
 |
파일명 | -6163569621186231550_121.jpg |
| 파일 크기 | 30,900 바이트 | |
| 생성 시간 | 2024년 8월 7일 수요일, 오후 10:04:05 | |
| 수정 시간 | 2024년 8월 5일 월요일, 오후 9:28:14 | |
| 접근 시간 | 2024년 8월 7일 수요일, 오후 10:04:0505 | |
| MD5 | D8642C9C7485D7313FAF219A584C9E54 | |
| SHA-1 | 45929ED4F4FF39737207F4B9715A49144A745B81 |
표 34 Telegram Images 폴더 내 -6163569621186231550_121.jpg 파일
 |
파일명 | -6163569621186231551_121.jpg |
| 파일 크기 | 30,730 바이트 | |
| 생성 시간 | 2024년 8월 7일 수요일, 오후 10:04:05 | |
| 수정 시간 | 2024년 8월 5일 월요일, 오후 9:28:14 | |
| 접근 시간 | 2024년 8월 7일 수요일, 오후 10:04:05 | |
| MD5 | A2EB0A99133F0ED68D645802F3759E69 | |
| SHA-1 | 47331B08A284DC35002BE4A331909B198579AF21 |
표 35 Telegram Images 폴더 내 -6163569621186231551_121.jpg 파일
계좌이체와 관련된 데이터는 다음과 같다.
| 일시 | 예금주 | 금액 |
| 2024년 7월 23일 17시 2분 | 전기홍 | 150,000 |
| 2024년 7월 24일 12시 44분 | 김준일 | 250,000 |
| 2024년 7월 25일 12시 17분 | 여기웅 | 400,000 |
표 36 Telegram Images 폴더에서 발견된 계좌이체 정보
3개의 계좌이체 사진을 발견했지만, Telegram 채팅 데이터의 복호화가 불가능 해 연관된 흔적을 발견할 수 없다. Telegram의 채팅 데이터는 Roaming의 하위 폴더인 Telegram Desktop에서 바이너리 파일은 확인할 수 있지만, 메시지 대화내용 복호화 작업은 할 수 없다.
4.2. WeChat 분석
WeChat 정보는 다음과 같은 경로에서 데이터를 확인할 수 있다.
| WeChat 데이터 - Partition3\Users\PC\Documents\WeChat Files |
표 37 WeChat 분석에 사용된 경로
그림 25 FTK Imager을 이용한 WeChat Files 폴더 내 파일들
해당 경로는 WeChat 설치시 생성되는 폴더이며, WeChat에서 나눈 대화목록, 이미지 등 전반적인 데이터를 담고 있다. 해당 폴더에서는 일반적으로 WeChat이 설치되 생성된 파일이 아니며, 임의적으로 생성된 파일이다. Zone.Identifier의 내용은 다음과 같다.
| [ZoneTransfer] ZoneId=3 ReferrerUrl=C:\Users\Daeryun\Documents\WeChat Files.zip |
표 38 WeChat Files 내 존재하는 Zone.Identifer 정보
Zone.Identifier에 따르면 Daeryun이라는 UserName을 가진 PC에서 WeChat Files.zip에서 압축 해제되어 생성된 파일들이다.
WeChat의 메시지 내용 또한 복호화 할 수 없다. WeChat의 경우 라이브 상태에서 WeChat이 실행되었을 경우 메모리 상에 유저 키 값이 존재하게 된다. 하지만 압수한 저장매체는 라이브 상태가 아니기 때문에 복호화가 불가능 하다는 결론을 내렸다.
본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.
감사합니다.
'Forensics' 카테고리의 다른 글
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-6 안티포렌식 분석 (0) | 2025.02.07 |
|---|---|
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-5 아티팩트 분석 (음원 파일 분석) (0) | 2025.02.07 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-3 아티팩트 분석 (이메일 분석) (0) | 2025.02.07 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-2 아티팩트 분석 (웹 아티팩트 분석) (0) | 2025.02.03 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-1 아티팩트 분석 (운영체제 분석) (0) | 2025.02.03 |