들어가기 전에..

• 오랜만에 연습문제 유형을 공유 해드립니다.

개인적인 생각으론 동일한 유형이 다시 출제될지는 확신이 안 서기 때문에 참고만 하셔도 됩니다.

• 이번 연습 문제는 최근 유형 몇 가지를 합쳐서 제작하였습니다. 아무래도 연습용 문제 이미지이기 때문에 시간 정보 등이 어느정도는 어설플 수 있으나 너그러히 이해 부탁드립니다.

<aside> 💡 기존에 없었던 추가된 내용

1. 쓰기 방지를 통한 저장매체 이미지 획득이 아닌 이미 획득 된 이미지 분석 → 쓰기방지 및 이미지 획득 없이 이미 수집된 이미지 분석
2. exFAT 복구
3. 가상머신(VMWare Player)를 활용하여 저장 이미지 파일 적절히 처리
4. bitlocker 해제 필요 (EnCase를 사용하지 않는 경우 VHD를 이용하여 bitlocker 접근하는 방법 소개)

</aside>

2024 상반기 연습 문제 공유

• 문제 이미지
• 문제지
• VMWare Player
• 기타 프로그램(시험장 제공 도구)

초반 힌트

1. FTK Imager를 이용하여 USB 이미지에서 파일시스템 추출 후 복구 시도
2. USB 이미지 복구에는 ExFAT BR의 복사본(12번 섹터)을 활용
3. USB의 안티포렌식으로 저장된 파일을 통해 가상머신 비밀번호 획득
4. VMware Player를 이용하여 암호를 해제하여야 한다. [Edit virtual machine settings] Option - Access Control 에서 Remove Encrytped 하여야 VMDK(가상 머신 이미지 해제됨)
5. VMDK 복호화 후 E01 또는 raw 아니면 VMDK 그대로 분석에 활용
6. bitlocker 암호화 해제는 분석과정에서 찾은 후 활용
7. (EnCase를 사용하지 않는 경우) bitlocker 파일시스템 이미지 추출 후 VHD로 변환하여 인식하는 방식 추천

풀이 과정 [Autopsy]

필요 프로그램 : Autopsy, FTK Imager, HxD, NTFS Log Tracker, VMware Player

• ISO 에서 문제 파일 추출

• 알고 있어야 할 것

  • USB 이미지 파일시스템 복구
  • Autopsy 이미지 분석 관련
  • bitlocker 관련