디지털 포렌식 전문가 과정 - 섹션5(개요/문서 분석)

안티포렌식 개요

불리하게 작용할 가능성이 있는 사용 흔적 또는 도구 흔적 등의 데이터를 삭제하고 차단하는 것

-> 데이터 은닉, 삭제, 변형 등의 기법을 사용

-> 데이터 유출과 밀접한 관계가 있음

 

유형: 데이터 파괴, 데이터 조작, 데이터 변형, 데이터 은닉, 원격 코드 사용, 부터풀 소프트웨어 사용 

 

[1] 데이터 파괴, 삭제

- 데이터를 분석하지 못하도록 삭제하는 기법

- 일반 삭제/ 완전 삭제(와이핑)

- 대응 방안: 비할당 영역에서 시그니처 기반으로 파일 카빙

*파일 카빙: 데이터 복구 기술로, 파일 자체의 바이너리 내용을 분석해 파일을 재구성하는 방식

 

[2] 데이터 변형

- 데이터를 다른 임의의 형태로 변형시키는 기법

- 데이터 압축, 암호화, 인코딩, 난독화, 실행 압축 등

*인코딩 방식: UTF-8, base64, hex, url encoding, ROR13

*암호화: TrueCrypt, windows bitlocker, TPM

 

[3] 데이터 은닉

- 데이터를 알아보지 못하도록 숨기는 기법

- 스테가노그래피, 데이터 스트림, 은닉채널, 슬랙공간

*아크로스틱 기법: 문자의 앞머리나 특정부분을 따서 의미있는 데이터가 되는 암호 기법

*삽입: 압축형태의 문서파일 안에 데이터를 삽입한느 방식

*이미지: 비트 반전, LSB

*오디오: 오디오 채널을 조작해 데이터를 은닉하는 방식

*영상: 동영상에 프레임을 추가하거나 조작하여 은닉하는 방식

 

*스테가노그래피 tool: SlientEye, OpenStego, StegDetecte가 가장 많이 사용됨

 

[4] 데이터 조작

- 데이터 분석을 어렵게 하기 위해 조작하는 기법

- 확장자 변경, 시간정보 변경, 문서내용 조작, 멀티미디어 조작 등 

*그림자 분석: 그림자의 위치와 빛의 위치를 계산해 실제 피사체인지 확인

*프레임 분석: 영상의 프레임을 계산해 특정 구간의 조작을 확인하는 방법

 

[5] 흔적 최소화 기법

- 원격 코드 실행 이용: 원격에 위치한 임의의 코드를 실행함

- 부터블 프로그램 이용: 부팅이 가능한 형태로 운영체제를 동작시키지 않고 데이터를 삭제하거나 변조함

- 가상머신

 

안티포렌식 분석 기법

- 오디오: 채널 분석, 스펙트럼 분석 

- 사진: 데이터 추출, LSB분석, magnifier, 프레임 분석

- 영상: 프레임 분석

- 이진 복합 파일: 압축 해제 후 파일 구조 확인

- 슬랙 공간: 카빙 기법을 이용해 데이터 추출, 복구

- 안티 포렌식 도구 사용 흔적: Icon Cache 분석

 

 

 

문서 파일 분석

[실습1] findkey.docx

이진복합파일 --> 압축 풀기 가능!!

8자리 패스워드가 있고, 티셔츠에 뭐가 써있다는 내용

--> 사진 파일을 저장해서 스테가노그래피로 해결? --> 이건 조금 기초적인 내용

 

hxd로 열어보니까 압축파일 시그니처가 보임(PK)

 

파일 시그니처를 zip으로 바꿔주고 다시 내용을 찾아봄

해당 구조체를 확인할 수 있음

 

실질적인 데이터들, 사용자가 읽고 쓰는 데이터들은 word에 있다는 것을 확인할 수 있음

word파일에서는 보이지 않았던 사진이 하나 더 있음

--> 데이터 구조를 이용해서 추가적으로 안에 데이터를 입력을 해놓았음을 알 수 있음

 

다시 가져온 아저씨 사진..저 남자의 티셔츠에 있는 텍스트가 바로 비밀번호 8자리라고!

 

이 사진과 같은 위치를 살펴보니 흰티의 아저씨의 옷에 있는 글씨 GANI1949 번호인 것..오 자세히 보니 같은 사람이네ㅎㅎ

 

 

[실습2] test.rtf

16진수 --> docx파일 은닉

color가 보이고, red, green, blue가 보이니,...RGB가 바로 떠올랐고 이걸 활용해서 뭔가를 은닉시킨 것 같음

89 50 4E 47을 살펴보면 PNG파일의 시그니처임을 알 수 있다. 

메모장을 이용해서 이 데이터들을 수정할 수 있다. 

 

\' 를 공백으로 모두 바꿔주면 일반적인 16진수로 표현이 될 수 있음 

이것을 hxd로 저장해줬음

기요미 심슨 등장

 

 

[실습3] damage_image.bmp

 

hxd로 열어줬지만 bmp파일 시그니처가 보이지 않음 --> 시그니처 손상

 

BMP 파일 포맷에 따라서 hxd를 수정해주면

 

이 형식을 앞에 붙여넣기를 해주면 손상된 부분이 해결되면서 다시 이미지가 보임

 

 

[실습4] problem.png

색상구조 --> 데이터 은닉

stegsolve.jar이용

cmd --> 해당 jar파일있는 경로로 이동 -->  C:\Users\USER\Downloads\5강\실습\Tool> java -jar Stegsolve.jar 명령어 실행

 

오 flag가 보임.. 좀 더 가봐야 할 것 같음

발견!!

 

 

[실습5] tulip.png

이리저리 보다가 y처럼 보이는 무언가를 발견함

 

확대하면 이렇게 보임

비트를 엄청나게 작게 만들어서 사진에 숨겨놓음

magnifier를 사용해서 엄청나게 작게 있는 비트를 확인할 수 있음 

그 외에 noise, clone 등 다양한 것을 시도할 수 있음

(스테가노그래피에서는 볼 수 없음!!)

[실습7] 오른쪽 표지판에 써있는 문자열은.png

흐릿해서 정보가 보이지 않음

 

이 도구를 사용해서 

radius, smooth로 흐릿함을 조정해주면 됨!!

 

Coxsackie