디지털포렌식 with CTF - [DISK Forensic]

11

DFIR/Challenge

2020-01-10 15:19:22

복구 된 키 이미지 파일의 논리 파일 해시 값은 무엇입니까? (MD5)

사용도구 : FTK Imager, R-Studio, Hex Editor, HashCalc

• evidence.001 이미지 파일을 FTK Imager 마운트 후 분석
• evidence image를 추가 후 파티션 확인 결과 특이한 점은 없으나 비정상 또는 손상된 파티션이 존재하는 것으로 추정됨

• R-Studio (하드디스크 복구 프로그램) 다운 및 관리자 권한으로 실행하여, 로컬 컴퓨터 내에 존재하는 이미지를 가상으로 마운트 시켜 확인

• Empty Space4에 마우스 우클릭 후 'Scan'

• Scan을 완료하니 2개의 파일시스템이 확인됨
  • Recognized0
  • Recognized1

• FTK Imager에서 확인된 파티션과 비교해보면 Recognized1 이 의심스럽다. (FTK Imager에서는 15MB 용량으로 확인이 되는데, R-Studio에서는 50MB로 확인되기 때문)

• 의도적으로 삭제된 파티션이 있을거라는 추측으로 MBR분석 진행 (★파티션테이블 구조 숙지)
• evidence.001 파일을 HxD로 open
  • MBR영역에서 3개의 파티션이 존재하는 것을 확인