제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-5 아티팩트 분석 (음원 파일 분석)
본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.
해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.
1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
1. 운영체제 분석
1.1. PC 정보 분석
1.2. PC 사용자 분석
1.3. 설치된 프로그램 분석
2. 웹 아티팩트 분석
2.1. Chrome 분석
2.2. Edge 분석
2.3. Firefox 분석
3. Email 분석
4. 메신저 분석
4.1. Telegram 분석
4.2. WeChat 분석
5. 음원 파일 분석
5.1. 웹 다운로드 음원 파일
5.2. 이메일 첨부파일 음원 파일
5.3. 로컬에 존재하는 음원 파일
6. 안티포렌식 분석
5. 타임라인
6. 문제풀이
5. 음원 파일 분석
음원과 관련된 파일은 세가지로 나눌 수 있다.
- 1. 웹으로부터 다운로드 받은 음원파일
- 2. 이메일에 첨부된 음원파일
- 3. 로컬에 존재하는 음원파일
5.1. 웹 다운로드 음원 파일
웹으로부터 다운로드 받은 음원 파일의 경로는 다음과 같다.
| PDJ.Lee - 오빠는 풍각쟁이.mp3 SellBuyMusic - hiro-in.mp3 SellBuyMusic - 니아.mp3 배달의민족 - 미래도시라솔파.mp3 배달의민족 - 배달은 자신있어.mp3 - Partition3\Users\PC\Downloads |
표 39 웹으로 부터 다운로드 된 파일 경로
웹으로부터 다운로드 받은 음원 파일의 정보는 다음과 같다.
| 파일명 | 파일 크기(바이트) | 경로 |
| PDJ.Lee - 오빠는 풍각쟁이.mp3 | 727,146 | Parition3\Users\PC\Downloads\PDJ.Lee - 오빠는 풍각쟁이.mp3 |
| 생성시간 | 2024년 7월 22일 월요일, 오후 9:16:42 | |
| 수정 시간 | 2024년 7월 22일 월요일, 오후 9:16:42 | |
| 엑세스 시간 | 2024년 8월 5일 월요일, 오후 8:03:05 | |
| MD5 | 9A15E531E211934F4D32121E44E7A1E7 | |
| SHA-1 | 8C357E89BAFD300F438B58AC83AE415E094127EA | |
표 40 웹 다운로드 - PDJ.Lee - 오빠는 풍각쟁이.mp3 정보
| 파일명 | 파일 크기(바이트) | 경로 |
| SellBuyMusic - hiro-in.mp3 | 2,825,321 | Parition3\Users\PC\Downloads\SellBuyMusic - hiro-in.mp3 |
| 생성시간 | 2024년 7월 22일 월요일, 오후 9:17:36 | |
| 수정 시간 | 2024년 7월 22일 월요일, 오후 9:17:37 | |
| 엑세스 시간 | 2024년 8월 5일 월요일, 오후 9:23:54 | |
| MD5 | 8CE6C600B4A915834844BF35FD3BE8CE | |
| SHA-1 | AB257E813E23CC6DB70275D41C35E892D6706212 | |
표 41 웹 다운로드 - SellBuyMusic - hiro-in.mp3 정보
| 파일명 | 파일 크기(바이트) | 경로 |
| SellBuyMusic - 니아.mp3 | 2,825,321 | Parition3\Users\PC\Downloads\SellBuyMusic - 니아.mp3 |
| 생성시간 | 2024년 7월 22일 월요일, 오후 9:16:56 | |
| 수정 시간 | 2024년 7월 22일 월요일, 오후 9:17:01 | |
| 엑세스 시간 | 2024년 8월 5일 월요일, 오후 9:23:54 | |
| MD5 | 8E2A9CE9A2ED6485789D36BE3BBA6C55 | |
| SHA-1 | E1CE3123DAC0415B77B6F26AA55C1DC73901E209 | |
표 42 웹 다운로드 - SellBuyMusic - 니아.mp3 정보
| 파일명 | 파일 크기(바이트) | 경로 |
| 배달의민족 - 미래도시라솔파.mp3 | 4,890,224 | Parition3\Users\PC\Downloads\배달의민족 - 미래도시라솔파.mp3 |
| 생성시간 | 2024년 7월 22일 월요일, 오후 9:16:22 | |
| 수정 시간 | 2024년 7월 22일 월요일, 오후 9:16:26 | |
| 엑세스 시간 | 2024년 8월 5일 월요일, 오후 8:03:05 | |
| MD5 | 8BCC94EA3E31D2138E6EDC6C6B72ECA0 | |
| SHA-1 | 5C3E79AE82A5993C11440CEA5B069385032633F4 | |
표 43 웹 다운로드 - 배달의민족 - 미래도시라솔파.mp3 정보
| 파일명 | 파일 크기(바이트) | 경로 |
| 배달의민족 - 배달은 자신있어.mp3 | 3,451,592 | Parition3\Users\PC\Downloads\배달의민족 - 배달은 자신있어.mp3 |
| 생성시간 | 2024년 7월 22일 월요일, 오후 9:15:56 | |
| 수정 시간 | 2024년 7월 22일 월요일, 오후 9:15:57 | |
| 엑세스 시간 | 2024년 8월 5일 월요일, 오후 8:37:46 | |
| MD5 | 68A7F951BC0458A5D8F88906B4462D24 | |
| SHA-1 | 71912DB4C6FBBCA2430FB12AB9E83258E1AD959B | |
표 44 웹 다운로드 - 배달의민족 - 배달은 자신있어.mp3 정보
5.2. 이메일 첨부파일 음원 파일
이메일에 존재하는 음원 첨부파일의 경로는 다음과 같다.
| 음원변조 파일.wav - Partition4\ppt\파일 보냄.eml |
표 45 이메일 첨부파일이 존재하는 경로
Mail View를 이용해 첨부파일을 확인한다.
그림 26 Mail Viewer을 이용한 첨부파일 확인
다음은 존재하는 음원 첨부파일의 정보이다.
| 파일명 | 파일 크기(바이트) | 경로 |
| 음원변조 파일.wav | 376,846 | Partition4\ppt\파일 보냄.eml |
| MD5 | 19D312A2AF42CA1EF7D14595DC7C42A1 | |
| SHA-1 | 2953B64E895A6A0433314AB7BEC1122AEF1E7077 | |
표 46 이메일 첨부파일 - 음원변조 파일.wav 정보
“음원변조 파일.wav”파일에는 DeepSound 프로그램을 통해서 데이터가 은닉되어 있는것을 확인 할 수 있다.
그림 27 DeepSound 프로그램을 통해 확인한 은닉된 데이터
DeepSound 프로그램을 사용하면 “음원변조 파일.wav” 파일 내 “Copyright.pdf” 파일이 존재하는 것을 확인 할 수 있다. 다음은 은닉된 데이터 파일에 대한 정보이다.
 |
|
| 파일명 | Copyright.pdf |
| 파일 크기 | 45,312 바이트 |
| MD5 | D616BE1C724E0C1ECCE6F108CB31EA82 |
| SHA-1 | 88AA6FAEF6CFD84FA0BFA4B2A47AE59C1B731197 |
표 47 음원정보 파일.wav에 은닉되어 있는 정보
해당 파일의 내용은 “제10회 디지털 범인을 찾아라 문제 파일입니다.” 라는 내용이 담겨져 있다.
5.3. 로컬에 존재하는 음원 파일
로컬에 존재하는 음원 파일의 경로는 다음과 같다.
| 김형남 – Flower.wav - Partition3\Users\PC\Documents |
표 48 로컬에 존재하는 음원파일 경로
다음은 로컬에 존재하는 음원 파일의 정보이다.
| 파일명 | 파일 크기(바이트) | 경로 |
| 김형남 – Flower.wav | 487,438 | Parition3\Users\PC\Documents\김형남 – Flower.wav |
| 생성시간 | 2024년 8월 7일 수요일, 오전 1:44:49 | |
| 수정 시간 | 2024년 7월 18일 목요일, 오후 1:15:31 | |
| 엑세스 시간 | 2024년 8월 7일 수요일, 오후 8:40:57 | |
| MD5 | C45839F142ED79C631512FFC95F5AFBA | |
| SHA-1 | 361CFAC4CC8FCD9231DB717526BFFF005B67F51C | |
표 49 로컬 - 김형남 - Flower.wav 정보
해당 파일의 내용은 “제10회 디지털 범인을 찾아라 문제 파일입니다” 라는 내용이 담겨 있다.
본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.
감사합니다.
'Forensics' 카테고리의 다른 글
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #5 타임라인 분석 (0) | 2025.02.07 |
|---|---|
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-6 안티포렌식 분석 (0) | 2025.02.07 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-4 아티팩트 분석 (메신저 분석) (0) | 2025.02.07 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-3 아티팩트 분석 (이메일 분석) (0) | 2025.02.07 |
| 제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-2 아티팩트 분석 (웹 아티팩트 분석) (0) | 2025.02.03 |