[실습2]
시나리오: 2017년 10월 김토마스와 박제인은 공모하여 연구소에서 개발중인 k6전차 설계도면을 유출하여 최크리스에거 넘긴 혐의를 받고 있다. 11월 최크리스는 중국으로 가는 비행기를 탑승하기위해 공항의 검문소를 지나다가 붙잡혔다. 최크리스의 가방엔 개인용으로 보이는 USB가 존재했다. 디지털 포렌식 분석관인 당신은 usb를 분석하고 질문에 대하여 답하시오.
[제공되는 해쉬값]
08112908c1cba1f2f07b21ec8c01833a
bc6e1de5d48744dcbc456eae74d60e88
1. 증거물의 사본을 생성하시오.
- 쓰기방지
인케이스의 상단 메뉴 Tools의 FastBloc메뉴이용
Write Protected Mode - 쓰기를 실행하면 디스크 쓰기가 금지되었다는 경고 메시지가 뜨면서 파일 복사가 되질 않는다.
Write Blocked Mode - Blocked Mode 를 설정하면 파일 복사가 되나, 실제론 복사가 되질 않는다.
즉, 사람 심리상 에러메시지를 싫어해서 Blcoked Mode 를 사용하는데 이 옵션이 어떤 기능이냐면 파일 복사가 실행되나 파일 복사가 실행된 것 처럼 보인다. 현재 나타내주는 화면은 임시로 데이터를 저장한다. 그러나 USB 에 저장하는게 아니라 화면에 나타나게 속임수로 저장이 된다.
-레지스트리 쓰기방지 설정
Key: HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
Name : WriteProtect
Value : 0x00000000(쓰기방지 해제), 0x00000001(쓰기방지 설정) Dword 생성
- 디스크 이미징
2. 우리 대법원 판결에 근거하여 증거물의 동일성, 무결성을 유지하기 위한 절차를 기재하시오.
- 사건현장에서 현장통제, 압수 현장 사진 및 동영상 확보
- 쓰기방지 장치를 사용해 휘발성 자료 수집
- 선별 압수일 경우 개별파일별로, 매체압수일 경우 디스크 이미지에 대한 Hash값을 각각 생성, 기록하여 디지털증거물의 동일성 유지를 위해 증거물 획득, 봉인, 이송, 분석까지의 Chain of Custody(연계보관성) 확보 필수 --> 각 절차의 문서화/확인자 서명 필요
3. 증거사본의 파일시스템 종류, 전체용량, 총 섹터 수, 단위 클러스터 크기,볼륨시리얼을 구하시오
| 파일시스템 종류 | NTFS |
| 전체 용량 | 210,759,680byte (클러스트 수 * 클러스트 크기) |
| 총 섹터 수 | 417,792 |
| 클러스트 크기 | 4,096 |
| 볼륨 시리얼 | 082F-0E78 |
4. 용의자들이 설계도면을 은닉했던 기법과 도면의 파일 시간정보, 용량, sha1 해시값 을 기재하시오
- IMAGE (151)
| 은닉 기법 | 확장자 변조를 통해 유출된 파일을 숨김 zip >> jpg로 변조함 |
| 도면의 파일 시간 정보(생성) | 2018-05-17 오전 5:23:43 |
| 용량 | 1,130,272byte |
| 경로 | DF-3.001\Partition 1 [201MB]\DF-3 [NTFS]\[root]\사진\IMAGE (151).jpg |
| SHA1 | 11e4f2a5a56775ff8cba7f116a142d691a63b915 |
아니 영수증은 찐 영수증이엇음ㅋ,,,,,
일단 zip파일이 제일 수상하긴 함
이 중에서 계속 반복되서 나오고, 시그니처가 맞지 않은 exe를 몇 개 찾았음
보니까 압축되어있다고 되있음!! 추출해서 zip파일이나 해봐야겠따..음 zip파일로 변환이 안되네
그냥 exe프로그램인 것 같음. 어떻게 해도 안 열림
사진쪽에 가보면 jpg들이 엄청 많은데 그중에서 사이즈가 독보적인 애가 있음ㅎ
시그니처를 확인해보니 PK 압축파일이다ㅜㅜ
5. 김토마스와 박제인이 범행을 공모한 혐의를 입증할 수 있는 파일을 찾고 파일의 시간정보, 용량, 해시정보(sha1)와 구체적인 금액을 적으시오.
- txt로 적혀있지만, 시그니처가 png로 되어 있어서 확장자 변경을 해줬더니 박제인과 김토마스가 대화한 카톡 스샷이 보임
| 파일 이름 | 1636224171.txt |
| 파일의 시간 정보 | |
| 용량 | 45,230byte |
| SHA1 | be941ae987c016cded29a52a9ae7e2491fa4caaa |
| 금액 | 1억 원 |
6. 김토마스가 최크리스에게 거래를 제의 받았다는 증거를 찾고 구체적으로 기술하시오.
- 최크리스 USB에 있었던 한글 파일을 보면 김토마토가 담당자로 있고, 공개입찰로 전차 도면 계약 현황을 계약함
음,,근데 이건 계약 내용이라서 거래를 제의받았다고는 말하기가 힘듦(거기다가 입찰을 통해서 받은 내용이니까 의심 정황이 약함)
다른 한글 파일과 달리 헤더 시그니처가 깨져있는 한글 파일을 추출해 hxd에서 시그니처 복구를 해주고 열어줬음
다시 한글 파일을 열어보면 접선 장소, 복장, 금액, 이메일, 카톡 아이디의 정보를 담고 있음
ㅋㅋㅋㅋㅋ저 거대한 목걸이 왤케 웃김
7. 최크리스 인적사항(이름, 주민등록번호, 주소, 전화번호) 단서 찾고 이것을 파악하기 위한 후속조치에 대해 약술하시오.
영수증 파일이 확장자가 변조되어 저장되어 있음
영수증 파일 4개에 대한 파일정보(해시, 용량, 시간, 경로) 확인 가능
아까 영수증이 사용되네용ㅎㅎ
후속조치 --> 영수증에는 카드를 사용했던 가게의 정보를 알 수 있음. 해당 가게로 가서 POS기계를 압수한다. CCTV 분석, 카드 정보를 토대로 신상정보를 파악한다.
+ CCTV를 확인해서 최크리스에 대한 동선 파악이 가능하며, 범죄와 관련된 관려자 접선을 확인할 수 있음
8. 디지털포렌식 분석실에서 위 USB 증거사본에 관한 정보를 탐색하는 과정에서 분석관이 취해야할 법적 조치 사항 서술하시오.
피의자 또는 용의자에 대한 분석 내용 고지와 서명
분석을 할 때 입회를 할 것인지 안 할 것인지에 대한 내용도 고지 서명
압수수색, 투명성, 위수증, 독수독과, 증거개시...............................
① 분석 전 영장 범위 확인 (별건 수사 금지)
- 내용: 영장에 기재된 범죄 사실과 관련된 데이터만 탐색해야 합니다.
- 조치: USB 내의 모든 파일을 뒤지는 것이 아니라, 사건과 관련된 키워드나 시간대(아까 확인한 로그 시간대 등)를 중심으로 탐색 범위를 제한하여 피압수자의 사생활 침해를 최소화해야 합니다.
② 증거관리 연속성(CoC) 기록 작성
- 내용: 증거물이 분석실에 입고된 순간부터 분석 완료 후 반환/폐기될 때까지의 전 과정을 기록해야 합니다.
- 조치: 분석 일시, 분석 도구(FTK Imager, HxD 등), 분석자 성명, 해시값 변화 유무 등을 **'디지털 증거 분석 기록지'**에 상세히 기재합니다.
③ 원본 보호 및 사본 분석 (Write-Block)
- 내용: 원본 데이터의 훼손을 방지해야 합니다.
- 조치: 물리적 USB를 분석할 때는 반드시 **쓰기 방지 장치(Write-Blocker)**를 연결해야 하며, 실제 분석은 원본이 아닌 **복제본(이미지 파일)**을 대상으로 수행해야 합니다.
'SWUFORCE > 윈도우 포렌식' 카테고리의 다른 글
| 디지털 포렌식 전문가 과정 - 섹션5(개요/문서 분석) (0) | 2026.05.05 |
|---|---|
| 디지털 포렌식 전문가 과정 - 섹션4(레지스트리/파일다운/암호 및 메일 분석) (1) | 2026.04.28 |
| 디지털 포렌식 전문가 과정 - 섹션4(개요) (0) | 2026.04.28 |
| 디지털 포렌식 전문가 2급 실기 - 6강 (0) | 2026.04.07 |
| 디지털 포렌식 전문가 2급 실기 - 3강/4강/5강 (0) | 2026.03.27 |