Questions
- 와이핑(파쇄기) 프로그램 사용 흔적을 분석하여 어떤 프로그램이 사용되었는지 확인합니다. 힌트: 다음 나열된 도구 중 일부가 사용되었습니다(기본 설정, 프리웨어/데모 라이센스). (150점)
- 사용자가 삭제한 파일을 삭제 시간 순으로 나열합니다. 삭제 시간을 나타내는 모든 아티팩트를 설명합니다. (50점)
이 문제는 주어진 이미지 파일을 분석하여 와이핑 프로그램의 사용 흔적을 찾고, 삭제된 파일들을 삭제 시간 순서대로 나열하며 삭제 시간에 관한 아티팩트를 설명하는 문제이다.
와이핑 프로그램이란 안티포렌식 툴의 일종으로 하드디스크에 저장된 데이터를 완전히 지워 논리적, 물리적인 방법으로 복구가 불가능하게 하는 프로그램을 말한다.
우선 주어진 이미지 파일을 분석하여 와이핑 프로그램의 사용 흔적을 분석해보자.
이미지 파일을 분석하기 위해 FTK Imager를 사용하여 이미지 파일 “test_shredder.E01”을 열어주었다.
▲ FTK Imager로 오픈한 USB 이미지 파일
항목에서 [orphan] 디렉토리의 “BCW-DIR-NOPES”, [root] 디렉토리의 “~BCWipe.tmp” 두 개의 삭제된 파일의 흔적을 볼 수 있다. 따라서 사용된 와이핑 프로그램이 힌트 목록에 있는 BCWipe임을 알 수 있다.
BCWipe는 데모 라이선스 프로그램이며, 파일 삭제 시 MFT의 Flag 값을 변경하고 파일 이름을 “~BCWipe.tmp”로 변경한다는 특징이 있다.
이 외에도 BCWipe가 사용된 흔적들을 찾을 수 있었다.
$130 파일에서 파일명이 “~BCWipe.tmp”이며 정보가 ‘!’로 덮어쓰기 된 데이터를 볼 수 있으며, 또한 [unallocated space] 디렉토리에서 와이핑되었던 데이터들이 존재함을 볼 수 있다.
▲ “~BCWipe.tmp”의 파일 이름과 의미 없는 값들로 덮여 쓰인 $I30 파일
▲ [unallocated space]에서 확인한 와이핑 흔적
이제 사용자가 어떤 파일들을 삭제하였는지 알아보자.
▲ 삭제된 흔적이 있는 파일들
사진과 같이 삭제된 파일들을 FTK Imager를 통해 볼 수 있다. 이제 이 파일들이 삭제된 시간을 알아내고자 하는데 이는 $LogFile과 $MFT 파일 분석함으로써 알 수 있었다.
분석할 파일들을 추출한 뒤, NTFS Log Tracker를 통해 $LogFile을 분석하였다. $LogFile의 EventTime 속성에서 파일이 삭제된 시간을 알 수 있었다.
▲ NTFS Log Tracker로 오픈한 $LogFile의 EventTime 분석 결과
또한 “Delete Index Entry Allocation”과 “Deallocate File Record Segment” 작업의 MFT_Modified Time으로 파일들의 삭제 시간을 알 수 있었다.
▲ NTFS Log Tracker로 오픈한 $LogFile의 MFT_Modified Time, Redo 분석 결과
이것만으로 알 수 없었던 LOGFILEWIPER 파일의 삭제 시간은 $MFT 파일을 통해 얻을 수 있었으며 MFT Explorer를 이용해 $MFT를 분석하였다.
▲ MFT Explorer로 오픈한 $MFT 분석 결과
▲ MFT Explorer로 오픈한 $MFT에서의 LOGFILRWIPER 파일 분석 결과
또한 $LOGFILE의 Event 속성이 File Deletion인 파일들을 보면 37.jpg->Xb2nLU, 9.jpg->_temp41865644161, 40.jpg->sS.W2d, 1.jpg->_temp41865644161로 파일명이 변경되었음을 알 수 있었다.
▲ NTFS Log Tracker로 확인한 파일명 변경 흔적
이 흔적들을 종합하여 삭제된 시간 순으로 파일들을 나열해보면 다음과 같다.
- LOGFILEWIPER (2021-04-08 02:11:56)
- Xb2nLU (37.jpg) (2021-04-08 11:12:21)
- _temp41865644161 (9.jpg) (2021-04-08 11:12:31)
- sS.W2d (40.jpg) (2021-04-08 11:12:43)
- _temp41865644161 (1.jpg) (2021-04-08 11:12:50)
