디지털포렌식 with CTF - [DISK Forensic] 10

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 그래서 경찰청은 그대들에게 다음과 같이 요청한다. “다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!”

 

KEY Format : SHA1("md5(Evidence File)_Download Time")

Download Time: KST, YYYY/MM/DD_HH:MM:SS

사용도구 : FTK Imager, BEncode Editor, NTFS Log Tracker, WinHex, HashCalc

 

분석할 파일 확인 (2013_CodeGate_F200)

-> 이미지 파일

 

이미징한 파일에서 administrator 계정으로 uTorrent를 이용했음을 예측할 수 있음

 

 

 

 

 

root\Users\Administrator\AppData\Roaming\uTorrent 폴더 내에 settings.dat 파일 분석 ( 토렌트에서 다운로드 받은 파일들의 경로와 설정 정보를 분석하기 위함)

 

추출한 setting.dat파일을 토렌트 데이터 파일 편집기인 BEncode Editor로 open

 

토렌트 다운로드 관련 폴더확인

 

FTK Imager를 통해 해당 폴더 내에도 어떤 파일이 존재하는 것을 확인하고 extract 한 후에 해당 파일의 생성 시간을 찾기 위해 NTFS Log Tracker를 통해 $Logfile, $MFT 파일 분석을 진행한다.

 

 

위의 경로가 토렌트 다운로드 경로와 관련 있음을 파악하기 위해 NTFS 파일시스템의 메타데이터 트랜잭션 정보를 저장하고 있는 $LogFile과 MFT 엔트리 정보를 가지고 있는 $MFT를 분석.

$LogFile과 $MFT의 경로는 Forensic[NTFS]/[root]/$LogFile, $MFT 이다.

 

NTFS Log Tracker 프로그램으로 FTK Imager에서 추출한 $LogFile과 $MFT파일을 분석한다. 파일을 지정하고 'Parse' 클릭시 sqlite DB로 저장하게 되어 있어 임의로 지정해 준다.

 

File Name 컬럼에서 052b585f1808716e1d12eb55aa646fc4984bc862 파일을 확인

 

-> 생성시간도 확보 (2012-12-24 13:45:43)

 

추출한 052b585f1808716e1d12eb55aa646fc4984bc862파일을 HxD로 확인한 결과, TorrentRG.com URL 문자열도 확인 가능

 

• 종합적으로 정리하자면 음란물 다운로드 흔적은 토렌트를 이용한 052b585f1808716e1d12eb55aa646fc4984bc862 파일의 다운로드임을 알 수 있다.

 

KEY Format : SHA1("md5(Evidence File)_Download Time")

 

 052b585f1808716e1d12eb55aa646fc4984bc862 파일을 hashcalc로 계산하면 md5 값이 '449529c93ef6477533be01459c7ee2b4' 나온다.

-> 449529c93ef6477533be01459c7ee2b4_2012/12/24_13:45:43

 

-> 해당 값을 다시 hashcalc로 text copy하여 SHA-1 값을 구한다.(영문 문자열은 대문자로)

449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43

-> SHA-1 값 : 0100a4cdfdbb366125e736dad7023527dcbaa5b9

KEY Format : 0100a4cdfdbb366125e736dad7023527dcbaa5b9