[98] IT 비전공자 [dreamhack]Small Counter문제 풀기

포렌식

이걸 풀기 위해 ftk imager가 필요하다

 

 

 

FTK Imager는 AccessData에서 개발한 디지털 포렌식 도구로, 컴퓨터 시스템이나 디지털 저장 장치의 데이터를 조사하고 분석하기 위해 사용됩니다. 주로 법의학적 증거 수집, 데이터 복구, 파일 시스템 분석 등에 활용되며, 특히 데이터의 무결성을 보장하면서 데이터를 이미징(복제)하거나 미리 보기하는 데 강점을 가집니다.

---

주요 기능

1. 디스크 이미징:
   • 저장 장치(하드 디스크, SSD, USB 등)의 포렌식 이미징을 수행합니다.
   • 디스크 전체 또는 특정 영역을 복제하여 원본 데이터를 변경하지 않고 복제본을 생성.
   • 생성된 이미지는 E01, RAW(dd), SMART 등 다양한 형식으로 저장할 수 있습니다.
2. 파일 시스템 미리 보기:
   • 파일 시스템의 구조와 데이터를 분석하고 미리 보기합니다.
   • 삭제된 파일, 숨겨진 파일, 시스템 파일도 볼 수 있음.
3. 증거 수집:
   • 특정 파일이나 디렉터리를 선택적으로 추출하고, 이를 법적 증거로 활용 가능.
   • 데이터를 추출할 때 무결성을 보장하는 MD5, SHA1 해시를 생성하여 데이터의 변경 여부를 확인.
4. 메모리 덤프:
   • 시스템의 RAM 덤프를 생성하여 메모리에 저장된 데이터를 분석 가능.
   • 악성코드 분석이나 런타임 데이터 조사에 유용.
5. 이미지 확인 및 분석:
   • 생성된 디스크 이미지를 열어 데이터를 분석.
   • 디스크의 특정 섹터나 클러스터를 직접 탐색할 수 있음.
6. 파일 검색 및 추출:
   • 파일 이름, 확장자, 키워드 등을 검색하여 특정 데이터를 추출 가능.

---

사용 사례

1. 디지털 포렌식:
   • 법적 증거를 수집하고 이를 보존하는 데 사용.
   • 데이터를 복제한 뒤 원본은 변경하지 않고 복제본에서 분석.
2. 데이터 복구:
   • 삭제된 파일, 손상된 파일 시스템 등에서 데이터를 복구.
3. 사이버 보안:
   • 시스템 침해 사고 대응(IR, Incident Response)에서 사용.
   • 악성코드가 시스템에 남긴 흔적이나 로그를 분석.
4. 조직 내 감찰:
   • 직원들의 비인가 활동이나 데이터 유출 조사.

---

FTK Imager의 장점

1. 무료 제공:
   • FTK Imager는 AccessData에서 무료로 제공하는 소프트웨어로, 누구나 다운로드하여 사용할 수 있음.
2. 데이터 무결성 보장:
   • 디스크 이미징 및 데이터 추출 과정에서 해시 값(MD5, SHA1)을 생성하여 데이터가 원본과 동일하다는 것을 보장.
3. 다양한 포맷 지원:
   • 다양한 파일 시스템(FAT, NTFS, EXT 등)과 이미지 포맷(E01, DD, RAW 등)을 지원.
4. 사용자 친화적 인터페이스:
   • GUI 기반으로 사용하기 쉬움.

---

FTK Imager 설치 및 사용

1. 다운로드:
   • AccessData 공식 웹사이트에서 FTK Imager를 다운로드.
     • 다운로드 링크
2. 설치:
   • 설치 과정은 간단하며, Windows에서 사용 가능.
   • 포터블 버전도 제공되므로 USB에 저장해 이동식으로 사용 가능.
3. 사용 예제:
   • 디스크 이미징:
     1. File 메뉴 → Create Disk Image 선택.
     2. 디스크/파티션 선택.
     3. 출력 형식(E01, DD 등)과 저장 경로 지정.
     4. 해시 값 생성(MD5, SHA1) 설정 후 이미징 시작.

---

FTK Imager와 비슷한 도구

1. Autopsy:
   • 디지털 포렌식 도구로, 파일 시스템 분석과 증거 추출에 사용.
2. EnCase:
   • 포렌식 전문가들이 주로 사용하는 상용 소프트웨어.
3. dd:
   • Linux 기반에서 사용되는 디스크 이미징 도구.
4. Magnet AXIOM:
   • 포렌식 및 증거 분석에 특화된 상용 도구.

---

결론

FTK Imager는 디지털 포렌식과 데이터 복구에서 널리 사용되는 강력하고 신뢰성 높은 도구입니다. 데이터 무결성 보장, 광범위한 파일 시스템 지원, 무료 제공 등의 이유로 포렌식 전문가와 보안 분석가들에게 필수적인 도구로 자리 잡고 있습니다. 😊

 

 

이메일..개인정보 넣어야, 이 파일을 다운로드할 수 있다

설치 ㄷㄱㄷㄱ

fil-> add evidence item 선택 Physical Drive 눌러주고, \\.\PHYSICALDRIVE1 을 눌러준다.

 

그리고 Partition1 > NONAME > root 누르면 파일들이 ~~~

여기서 이제 뭐하지>?

 

 

파일 시스템은 특정 파일이 삭제되면그 파일과 연관된 클러스터를 '0'이라는 레이블로 지정하지만,
새로운 데이터가 덮어 쓰여지지 않는 이상 삭제된 파일의 정보가 남아있기 때문에 복구가 가능하다.
unallocated space 는 결국 새로운 데이터를 덮어쓸 수 있는 공간이기 때문에,
이곳에 지워진 파일의 정보가 남아있을 가능성이 있는 것이다.

출처 ㅣ https://velog.io/@c01dbr0th3r/DreamHack-lololologfile

추출후 hxd로 이동해보자

 

pdf 헤더가 02067파일에서 발견되었다

 

 

파일을 연결해봅시다

 

 

 

 

연결해서 출력해보자

따라란

캬 복구 완료, 아이러브 포렌식 낫 포엔드식스 ㅋㅋㅋㅋ

 

 

참고 글

 

https://hey-stranger.tistory.com/60

[포렌식] FTK Imager 설치하기 + 사용법

https://velog.io/@c01dbr0th3r/DreamHack-lololologfile

[DreamHack] lolololologfile