글 작성자: pental

본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.

해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.

1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
    1. 운영체제 분석
      1.1. PC 정보 분석
      1.2. PC 사용자 분석
      1.3. 설치된 프로그램 분석
    2. 웹 아티팩트 분석
      2.1. Chrome 분석
      2.2. Edge 분석
      2.3. Firefox 분석
    3. Email 분석
    4. 메신저 분석
      4.1. Telegram 분석
      4.2. WeChat 분석
    5. 음원 파일 분석
      5.1. 웹 다운로드 음원 파일
      5.2. 이메일 첨부파일 음원 파일
      5.3. 로컬에 존재하는 음원 파일
   6. 안티포렌식 분석
5. 타임라인
6. 문제풀이

1.   분석

1.     이미징 작업

그림 2 FastBloc SE를 이용한 쓰기 방지 활성화

 

Encase FastBloc SE를 통해 압수한 노트북 저장매체를 연결 후 이미징 작업을 진행한다. 쓰기방지(Write Blocked)가 설정된 것을 확인하고, FTK Imager를 통해서 이미징 작업을 수행한다.

 

그림 3 FTK Imager을 이용한 확인된 파티션 목록

[그림 3]은 압수한 저장매체를 물리드라이브로 연결 후 확인된 파티션 목록이다. 확인된 파티션은 총 4개이다. 파티션 확인 후 전체 이미징 작업을 진행한다.

 

표 3 FTK Imager을 이용한 이미지 과정

 

이미징 작업 과정은 위 [ 3]과 같으며, 이미징 된 이미지 파일과 원본 저장매체의 해쉬 값이 동일한 것을 확인되었다.

 

다음은 해시 값에 대한 결과이다.

해시 종류
MD5 8fed586d5d4f051d5474cebdbbdc6946
SHA1 875929a26493e63d1ed1db396b6cb46ef167a2e3

표 4 이미징 처리 후 해시 값 목록

 

다음은 디스크 정보에 관한 결과이다.

항목
Drive Model USB SanDisk 3.2Gen1 USB Device
Serial Number 010151d5791cc0ebfc1d
Cylinders 7,479
Sectors per Track 63
Sector Count 120,164,352

표 5 이미징 대상의 디스크 정보

 

본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.

감사합니다.

저작자표시 비영리 (새창열림)

'Forensics' 카테고리의 다른 글

제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #3 - 파티션 목록  (0) 2025.02.03
제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #2 - 손상된 파티션 복구  (0) 2025.02.03
제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #0 - 대회 소개 및 분석 환경  (0) 2025.02.03
카카오톡 포렌식 도구 개발 - Windows, iOS, Android, Mac 운영체제 카카오톡 디비 복호화  (19) 2025.01.03
카카오톡 PC 버전 포렌식: 민사·내부 감사 맞춤 분석 서비스 의뢰 받습니다  (1) 2024.10.24

티스토리툴바