제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-6 안티포렌식 분석

본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.

 

해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.

1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
    1. 운영체제 분석
      1.1. PC 정보 분석
      1.2. PC 사용자 분석
      1.3. 설치된 프로그램 분석
    2. 웹 아티팩트 분석
      2.1. Chrome 분석
      2.2. Edge 분석
      2.3. Firefox 분석
    3. Email 분석
    4. 메신저 분석
      4.1. Telegram 분석
      4.2. WeChat 분석
    5. 음원 파일 분석
      5.1. 웹 다운로드 음원 파일
      5.2. 이메일 첨부파일 음원 파일
      5.3. 로컬에 존재하는 음원 파일
   6. 안티포렌식 분석
5. 타임라인
6. 문제풀이

---

6. 안티포렌식 분석

 

Parition3 및 Parition 4의 로그파일 분석을 위해 각각의 파티션에서 $MFT, $LogFile, $Usnjrnl 파일을 추출한다.

그림 28 FTK Imager을 통해 로그파일 분석에 필요한 파일 추출

 

추출된 파일을 바탕으로 NTFS Log Tracker v1.71을 사용하여 로그파일을 추출해 분석을 진행한다.

그림 29 로그파일 분석에 사용된 NTFS Log Tracker v1.71

Parition3에서는 안티포렌식 흔적을 발견할 수 없지만, Parition4에서는 안티포렌식 흔적이 발견되었다. 안티포렌식의 흔적에 대해서는 아래와 같다.

아래 그림에서는 Renaming File이라는 이벤트가 발생하였으며, 알 수 없는 문자열로 4~7회 변경 후 파일이 삭제된 흔적을 확인 할 수 있다.

그림 30 NTFS Log Tracker로 확인된 파티션 4의 안티포렌식 흔적

 

2024년 8월 13일 오후 9시 50분 43초부터 2024년 8월 13일 오후 9시 59분 56초 까지 ppt 폴더 내 파일들에 대해 와이핑이 진행되었으며, 145개의 파일이 완전삭제(File Wiping)된 흔적을 발견할 수 있다. 이후 ppt 폴더 내 파일이 생성된 흔적이 발견되었다.

 

그림 31 Visual Studio Code를 이용한 File Deletion 문자열 갯수 확인

그림 32 파일 와이핑 후 생성된 ppt 파일

 

또한 2024년 8월 13일 오후 10시 1분 32초부터 2024년 8월 13일 오후 10시 2분 28초까지 excel 폴더 내 파일들에 대해 와이핑이 진행되었으며, 총 150개의 파일이 완전삭제(File Wiping)된 흔적을 발견할 수 있다.

그림 33 Visual Studio Code를 이용한 File Deletion 문자열 갯수 확인

 

이후 excel 폴더 내 파일이 생성된 흔적이 발견되었다.

그림 34 와이핑 이후 생성된 엑셀 파일

 

파일 생성 이후 excel 폴더 내 “도주계획.xlsx” 파일이 “2023 기계학습 결과 보고서.xls" 로 이름이 변경되었으며 다시 한번 “2024 기계학습 결과 보고서.xls" 로 파일 이름이 변경되었다.

그림 35 도주계획 파일 발견 및 이름 변경 흔적

 

본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.

감사합니다.