Test

#About

경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.

최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.

당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

2. 다음 테러 장소는?

인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)

예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake)

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공 받은 디스크 이미지 파일은 931MB이며 이를 분석하기 위해 FTK Imager로 열어 보았다

[그림 2] - 디스크 이미지 파일 인식 에러

하지만 문제에서 언급했듯 특정 부분이 손상되었는지 이미지의 인식이 되지 않았고, 손상된 값을 찾기 위해 에디터로 열어보았다

[그림 3] - VBR 영역 확인

0번째 섹터의 OEM Name(0x03~0x0A)을 보고 파일시스템이 FAT임을 알 수 있었고 또한 해당 파일 시스템의 

섹터의 크기가 0x200 = 512Byte, 클러스터 할당 크기가 512 x 8 = 4096Byte 임을 알 수 있었다 이렇게 되면 

한 섹터의 끝에 섹터의 끝을 의미하는 매직 넘버인 55AA가 있어야 하지만 [그림 3]에서는 확인할 수 없고, 직접 값을 입력해야 한다

또한 아래와 같이 매직 넘버가 섹터의 끝이 아닌 중간 부분에 놓여있음을 확인했다

[그림 4] - 일정 바이트 가량 밀린 매직 넘버 확인

따라서 오프셋  0x30C인 72전 부터 0xD8개의 널 바이트를 채워 줌으로써 아래와 같이 정확히 한 섹터의 끝에 매직 넘버를 설정해 줄 수 있었다

[그림 5] - 널 바이트 삽입으로 인한 매직 넘버의 올바른 위치 설정

이 후 FTK Imager로 열었을 때 정상 인식 된 것을 확인할 수 있었고 아래와 같이 시나리오에서 요구하는 2차 테러 계획.hwp를 확인할 수 있었다

[그림 6] - 이미지 파일 정상 인식

2차 테러 계획.hwp 파일을 추출한 뒤 확인 결과는 아래와 같으며 시나리오에서 요구하는 다음 테러의 장소는 Rose Park임을 알 수 있었다

[그림 7] - 2차 테러 계획 내용 확인

문서의 수정 일시 또한 [그림 7]에서 확인할 수 있고 FTK Imager는 UTC+00을 기준으로 하기 때문에 

문제에서 요구하는 시간대인 UTC+09를 맞춰주게 되면 2016-05-30_11:44:02가 된다

인증키 = md5(2016-05-30_11:44:02_Rose Park)

마지막으로, [그림 3]에서 VBR영역의 OEM Name 부분을 보고 파일시스템이 FAT임을 알 수 있었다고 했지만 정확히 확인하기 위해선

VBR의 백업영역의 값과 같은지 재 확인 절차가 필요하며 백업영역은 보통 +6 섹터에 위치하고 BPB에 따라 달라진다