10
DFIR/Challenge
2020-01-10 15:24:41
경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 그래서 경찰청은 그대들에게 다음과 같이 요청한다. “다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!”
KEY Format : SHA1("md5(Evidence File)_Download Time")
Download Time: KST, YYYY/MM/DD_HH:MM:SS
사용도구 : FTK Imager, BEncode Editor, NTFS Log Tracker, WinHex, HashCalc
분석할 파일 확인 (2013_CodeGate_F200)
-> 이미지 파일
이미징한 파일에서 administrator 계정으로 uTorrent를 이용했음을 예측할 수 있음
root\Users\Administrator\AppData\Roaming\uTorrent 폴더 내에 settings.dat 파일 분석 ( 토렌트에서 다운로드 받은 파일들의 경로와 설정 정보를 분석하기 위함)
추출한 setting.dat파일을 토렌트 데이터 파일 편집기인 BEncode Editor로 open
토렌트 다운로드 관련 폴더확인
FTK Imager를 통해 해당 폴더 내에도 어떤 파일이 존재하는 것을 확인하고 extract 한 후에 해당 파일의 생성 시간을 찾기 위해 NTFS Log Tracker를 통해 $Logfile, $MFT 파일 분석을 진행한다.