Forensics

pental 2025. 2. 3. 20:48

본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.

해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.

1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
  1. 운영체제 분석
1.1. PC 정보 분석
  1.2. PC 사용자 분석
  1.3. 설치된 프로그램 분석
  2. 웹 아티팩트 분석
  2.1. Chrome 분석
  2.2. Edge 분석
  2.3. Firefox 분석
  3. Email 분석
  4. 메신저 분석
  4.1. Telegram 분석
  4.2. WeChat 분석
  5. 음원 파일 분석
  5.1. 웹 다운로드 음원 파일
  5.2. 이메일 첨부파일 음원 파일
  5.3. 로컬에 존재하는 음원 파일
6. 안티포렌식 분석
5. 타임라인
6. 문제풀이

1. 분석

1. 이미징 작업

그림 2 FastBloc SE를 이용한 쓰기 방지 활성화

Encase FastBloc SE를 통해 압수한 노트북 저장매체를 연결 후 이미징 작업을 진행한다. 쓰기방지(Write Blocked)가 설정된 것을 확인하고, FTK Imager를 통해서 이미징 작업을 수행한다.

그림 3 FTK Imager을 이용한 확인된 파티션 목록

[그림 3]은 압수한 저장매체를 물리드라이브로 연결 후 확인된 파티션 목록이다. 확인된 파티션은 총 4개이다. 파티션 확인 후 전체 이미징 작업을 진행한다.

표 3 FTK Imager을 이용한 이미지 과정

이미징 작업 과정은 위 [표 3]과 같으며, 이미징 된 이미지 파일과 원본 저장매체의 해쉬 값이 동일한 것을 확인되었다.

다음은 해시 값에 대한 결과이다.

표 4 이미징 처리 후 해시 값 목록

다음은 디스크 정보에 관한 결과이다.

표 5 이미징 대상의 디스크 정보

본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.

감사합니다.