Disk Forensic #20 (경찰청은 최근 아동 성폭력...)

 

디스크 포렌식 20번 문제

 

지문이 굉장히 긴 문제이다...

 

먼저 문제에서 제공한 이미지 파일을 FTK Imager에서 열어 확인해보자.

 

FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용

 

다운로드 사이트 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

 

FTK Imager version 4.2.1

AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.

accessdata.com

 

[그림 1] FTK Imager > 파일 오픈

 

파티션 1에서 Forensic[NTFS]의 폴더를 살펴보면 root/Users에서 사용자 계정을 확인할 수 있다.

 

우선 제일 의심스러운 CodeGate_Forensic 사용자 계정에서는 다운로드와 관련된 정보를 얻을 수 없다.

 

그러므로 추가 분석을 진행해보자.

 

[그림 2] uTorrent 폴더 발견

 

분석 진행 도중에 Administrator 계정에서 토렌트와 관련된 uTorrent라는 이름으로 된 폴더를 확인할 수 있다.

 

따라서 uTorrent를 이용하여 다운로드를 했음을 추측해볼 수 있다.

 

파일의 경로는 root\Users\Administrator\AppData\Local\uTorrent이다.

 

[그림 3] settings.dat 파일

 

이제 uTorrent에서 다운받은 파일의 경로와 설정 정보를 분석하기 위해서는 root\Users\Administrator\AppData\Roaming\uTorrent 폴더의 settings.dat 파일을 분석해야 한다.

 

[그림 4] Export Files...

 

settings.dat 파일을 [마우스 우클릭] - [Export Files...] 기능을 통해 해당 파일을 추출하여 지정 위치에 저장한다.

 

저장이 완료되면 토렌트 데이터 파일을 확인하기 위한 도구인 BEncode Editor 도구를 사용해보자.

 

BEncode Editor : 토렌트 데이터 파일을 편집, 확인할 수 있는 도구

 

다운로드 사이트 : https://sites.google.com/site/ultimasites/bencode-editor

 

BEncode Editor - Ultima's Projects

BEncoding is a data encoding scheme used primarily in the BitTorrent world. Because BEncoded files can contain binary data, and because of some of the intricacies involved in the way binary strings are stored, it is often not safe to edit such files in tex

sites.google.com

 

[그림 5] BEncode Editor 실행 > 파일 오픈

 

settings.dat 파일을 열면 Administrator 계정과 관련된 경로를 확인할 수 있다.

 

경로는 C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup이다.

 

 

[그림 7] settings.dat 관련 경로

 

이제 위에서 settings.dat 파일의 내용에 대해 BEncode Editor 도구를 사용하여 확인한 경로를 FTK Imager로 이동해보자.

 

이동하면 위와 같은 파일이 확인되고, 똑같이 추출하여 MAC 타임을 확인해보면 다음과 같은 시간이 확인된다.

 

[그림 8] 생성 시간 확인

 

MAC 타임에서 C는 Created(생성 시간)을 뜻한다.

 

따라서 해당 파일은 2012년 12월 24일 월요일 오후 1시 45분 43초에 생성된 파일이라는 것을 확인할 수 있다.

 

[그림 9] 해당 파일 데이터 문자열

 

그리고 해당 파일의 데이터를 확인해보면 TorrentRG.com의 문자열을 확인할 수 있고, 따라서 이 파일은 다운로더의 음란물 다운로드 흔적은 토렌트를 이용한 해당 파일의 다운로드임을 확인할 수 있다.

 

이제 지금까지의 내용을 정리하여 문제에서 요구하는 플래그 형태로 정리해보자.

 

문제에서 요구하는 형태는 SHA1("md5(Evidence File)_Download Time") 형태이다.

 

정리해보면 SHA1("md5(052b585f1808716e1d12eb55aa646fc4984bc862)_2012/12/24_13:45:43")이다.

 

이제 SHA1과 MD5 Hash값을 구하기 위해 Hashcalc라는 도구를 이용해보자.

 

HashCalc : 다양한 해시값 추출 프로그램으로, 파일 무결성 검사 도구

 

설치 사이트 : https://www.slavasoft.com/hashcalc/

 

SlavaSoft HashCalc - Hash, CRC, and HMAC Calculator

SlavaSoft HashCalc HASH, CRC, AND HMAC CALCULATOR HashCalc 2.02     FREE A fast and easy-to-use calculator that allows to compute message digests, checksums and HMACs for files, as well as for text and hex strings. It offers a choice of 13 of the most popu

www.slavasoft.com

[그림 10] HashCalc MD5

 

위 화면은 HashCalc 도구를 이용해 해당 파일에 대한 MD5 값을 나타낸 화면이다.

 

이제 마지막으로 문제에서 제시한 파일의 MD5 Hash값과 다운로드 시간을 조합해보자.

 

449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43 (MD5 Hash 값_다운로드 시간)

 

[그림 11] 최종 플래그 확인

 

SHA1 Hash값을 HashCalc 도구를 이용하여 구하면 최종 플래그를 확인할 수 있다.

 

따라서 위 과정을 통해 본 문제 해결이 가능합니다.

 

 

추가적으로 토렌트 다운로드 경로와 관련 있음을 파악하기 위해 NTFS 파일 시스템의 메타데이터 트랜잭션 정보를 저장하고 있는 $LogFile과 MFT 엔트리 정보가 저장된 $MFT를 NTFS Log Tracker 도구를 통해 분석하는 방법도 있으며, 파일에 대한 정확한 MAC 타임 정보를 확인할 수 있습니다.

 

그리고 HashCalc 도구를 통해 나온 결과 값인 MD5 Hash 값은 소문자에서 대문자로 변환해주어야 최종 플래그 값이 정상적으로 출력됩니다.

# Reference

 

http://www.yes24.com/Product/Goods/59156934

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Multimedia Forensic] stream  (0) 2020.04.20
[Disk Forensic] 도와주십시오, 누군가...  (2) 2020.04.19
[Disk Forensic] 거대한 마약 조직을 잡으려는...  (0) 2020.04.16
[Disk Forensic] 복구 된 키 이미지 파일의...  (0) 2020.04.16
[Multimedia Forensic] SECCON WARS  (0) 2020.04.16

+ Recent posts

티스토리툴바