[ccibomb@CRG]# _bykim

[기술문서] Encase Basic (10.05.08.).pdf

 ○ 목  차 ○

0.   Encase 개요

1.   Encase 설치

2.   Case 관리

3.   Add Device

4.   기존 Case 파일 분석

5.   Encase Concepts

6.   파티션 복구 (Partition Recovery)

6-0. 볼륨 분석 (Volume Analysis)

6-1. 파티션 복구 원리

6-2. 파티션 복구 실습 (4 cases)

7.   웹 히스토리 분석 (Web History Analysis)

8.   파일 시그니쳐 분석 (Signature Analysis)

9.   해쉬 분석 (Hash Analysis)

10.   링크파일 분석 (Shortcut Analysis)

11.   참고문헌

12.   도움주신 분들 

-      이지스원 시큐리티 보안팀장 김 태 일

-      이지스원 시큐리티 연구원   이명수, 주한익

-      경찰수사연수원 사이버 교수 유    현

-      국립 경찰 대학 사이버 교수 장 윤 식

-      육군 사관 학교 사이버 교관 유 정 호

Case ④ 각각의 Partition의 VBR이 모두 손상된 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

-      인식 오류 발생 원인

Encase로 불러왔을 때, 아무런 파티션도 인식하지 못한 상태이다.

해당 디스크의 MBR을 확인해 보았다. MBR에는 2개의 파티션 정보가 나타나 있다. 해당 정보에 따르면, 첫 번째 파티션 시작 위치는 63섹터, 두 번째 파티션 시작 위치는 128520 섹터이다. 그러나 해당 섹터(VBR)는 모두 손상되었다.

즉, MBR은 손상되지 않았지만, 각각 파티션들의 VBR이 손상되었다.

a.       MBR의 Partition table을 보고, 각 Partition의 시작 위치 확인

b.       첫 번째 파티션의 시작 위치인 63 sector에서 VBR 손상 확인

c.       두 번째 파티션의 시작 위치인 128520 sector에서 VBR 손상 확인

-      복원 과정

VBR이 손상되었을 때에는, VBR 백업본을 이용하여 복원할 수 있는 가능성이 존재한다. NTFS의 경우 파티션의 가장 마지막 섹터에 백업 되며, FAT32의 경우 보통 VBR에서 6번째 섹터에 기록되어 있다. 각각 파티션의 백업 VBR의 존재를 확인 후 손상된 VBR의 위치에 덮어쓰는 방법으로 복원할 수 있다.

a.     첫 번째 파티션의 VBR (63 sector) 바로 다음 섹터 확인

// NTLDR 관련 정보가 있는 것으로 보아 NTFS인 것으로 추측.

NTFS의 경우 VBR의 백업본이 맨 마지막 sector에 저장되어 있음

b.    첫 번째 파티션의 맨 마지막 섹터 (128519 sector) 확인

// NTFS 파일시스템 파티션 VBR 이 백업되어 있음

c.     두 번째 파티션의 시작위치(128520 sector)로부터 6 sector 뒤 확인

// FAT32 파일시스템 파티션 VBR이 백업되어 있음

d.    WinHex로 dd 이미지를 읽음

(Encase Forensic Training버전에서는 Disk Emulate 기능 없으므로 직접 수정이 불가하므로 WinHex를 이용하여 VBR 백업본을 직접 손상된 VBR에 덮어써서 복원 후 마운트해야 함)

e.     Encase를 통해 이미 확인한 VBR 백업본을 원래의 VBR 위치에 덮어씌움

   // NTFS의 VBR 백업본

                  // FAT32의 VBR 백업본 

-      복원 완료

a.       Encase로 확인

Winhex에서 저장 후 Encase에서 Raw Image로 불러들여 읽음

 // 정상적으로 C, D 드라이브가 인식된 것을 확인

b.       Linux의 Loop Device로 Mount하여 정상 인식되는지 확인

b-1.  dd 파일의 정보 확인 (Encase로 확인한 바와 동일함)

           c.f) MMLS filesystemrecovery.dd 를 이용하여도 Partition 정보 확인 가능

MMLS는 Sleuthkit Tool 중 하나로, 분석할 디스크 레이아웃과 전체 파티션 스키마 취득, 물리적 디스크만 분석 가능 (스냅샵으로 획득한 이미지 파일에서는 사용 못함)

img_stat도 스냅샷 작성한 파일과 원본 디스크 또는 파티션 정보 확인 가능

b-2. 첫 번째 파티션의 offset(시작위치sector를 byte로 환산)을 지정하여 Mount 시킴

c.f) 파일 시스템을 마운트하는 것이므로, offset을 지정하지 않는 경우 해당 이미지는 하나의 파일 내에 두 개의 파일시스템이 존재하게 되어 마운트 자체가 불가능함

“dd if=filesystemrecovery.dd of=recovery.dd bs=512 start=63 size=128457”와 같이 offset을 지정하지 않고, 첫 번째 파티션만 따로 dump하여 mount 가능

                            b-3. 마운트된 첫 번째 파티션 확인 (정상 인식)

b-4. 두 번째 파티션 Mount 후 확인 (정상 인식)

Case ③ MBR의 Partition Entry가 전혀 없는 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout

-      하드디스크 정보 (229,824 Sectors, 112.2MB) 

-      인식 오류 발생 원인

MBR에 Partition Entry가 전혀 기록되어 있지 않다. 즉, Encase에서는 아무런 파티션도 인식하지 못하였다.

-      복원 과정

a.       MBR의 Partition Entry를 고의적으로 삭제하였을 경우, 실제 파티션의 시작 지점에 위치하는 VBR은 남아있는지를 우선적으로 확인한다. 이때, 첫 Primary Partition은 63번 섹터에서 시작하게 되므로 63번 섹터를 확인. 

           // OEM String 으로 보았을 때, NTFS 파일 시스템을 갖는 파티션이 존재함 확인

b.       첫번째 파티션(Primary, NTFS) 추가

c.       하지만, 이때 파티션이 여러 개 존재하는지 여부 및 파티션의 크기와 시작 위치 등은 MBR이 삭제 되었으므로 더 이상 알 수 없다.

따라서 다른 파티션을 찾아보기 위하여 Keyword로 Search 한다.

                        c-1. 먼저 OEM String 을 키워드로 등록한다.

c-2. Unused Disk Area와, OEM String 키워드를 체크하고 Search

d.       검색 결과 확인

// 총 4개가 검색되었다. 이때, VBR의 백업본도 함께 검색되므로, 선별 작업이 필요하다. 보통 NTFS의 경우 VBR 백업본은 가장 마지막 섹터이고, FAT32의 경우 VBR로부터 6번째 섹터에 기록되므로 이 하드 디스크의 총 파티션 수는 2개이며, NTFS와, FAT32 파일 시스템을 사용하고, 각각 파티션 시작 위치(VBR)은 63 과 128520 임을 알 수 있다.

e.    두 번째 파티션(FAT32) 인식

e-1.  시작 지점인 128520섹터로 가 본다.

(첫 번째 파티션의 마지막 섹터 바로 다음이다.)

// 바로 VBR이 위치하는 것을 알 수 있다. 첫 번째 파티션이 128519 에서 끝났으므로 두 번째 파티션 또한Primary Partition인 것을 알 수 있다. (BR이 없으므로, MBR에 등록되어있는 Primary임을 의미함)

 e-2. Add Partition

-      파티션 복원 완료

새로 추가된 E 드라이브의 Messages.txt 파일 내용 확인

-      추가 연구가 필요한 사항

추가하려는 E 드라이브 외에 D 드라이브(C와 E전부를 가리킴)가 생성되는 이유와 이를 포렌식적으로 제거하는 방법에 대한 연구가 필요하다.

c.f) 최종 복구 후 모습

Case ② MBR의 Partition Table 일부 및 확장 파티션의 BR이 손상된 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

-      손상여부 확인

a.       Disk 전체 섹터와 인식된 파티션의 섹터 크기 확인

전체 섹터 크기      : 229824 sector

첫 번째 파티션 크기 : 128457 sector

b.       전체 섹터 중에서 거의 반만 가진 하나의 파티션만을 가졌다고 하기는 의심스럽다. 첫 번째 파티션 후에도 새로운 파티션이 있는지 찾아봐야 한다.

-      인식 오류 발생 원인

MBR 에는 파티션 하나만 기록이 되어 있었으나, Unused Disk Space가 약 52MB로 나타나, 한 개의 파티션이 더 있을 것을 의심. 첫 번째 파티션의 끝 지점을 확인하였더니 다음 섹터(128520)의 마지막 부분에 55 AA의 Signature가 확인됨. 그로부터 63섹터 떨어진 128583 섹터를 확인하였더니 VBR로 판단됨. 즉, MBR 손상 및 확장 파티션의 BR 손상.

-      복원 과정

a.       첫 번째 파티션은 NTFS임을 확인(Signature : OEM String – NTFS)

b.       마지막 섹터에 VBR 백업본 확인

c.       다음 섹터를 확인

c-1.  MBR 정보 확인한 두 번째 파티션 시작위치 : Starting LBA 값 08 F6 01 00 와 일치

c-2. 새로운 파티션이 시작되어야 함.

MBR확인 결과 2번째 파티션 시작주소(128520 섹터)

d.       마지막 2 Bytes에 “55 AA” Signature 뿐으로, OEM String없음

d-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System의 Meta Data 등이 삭제된 것임

d-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임

e.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인 :

// OEM String 확인, FAT 확인(File System의 Meta Data) : VBR

Extended Partition임, 즉 BR 정보가 조작된 것임

f.        2번째 파티션의 시작지점(VBR)인 128583sector에서 새로운 파티션 추가(Add Partition)

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성

-      복원 과정

a.       MBR 정보 확인하여 두 번째 파티션 시작위치(Starting LBA 값 08 F6 01 00 : 128454 sector)로 이동

b.        마지막 2 Bytes에 “55 AA” Signature 뿐으로, OEM String이 없음

b-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System의 Meta Data 등이 삭제된 것임

b-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임 

c.f) Partition Layout (Primary Partition 2개, Extended Partition 2개인 경우)

c.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인

           // OEM String 이 MSDOS5.0이므로 파일 시스템의 유형은 FAT32로 확인

d.        2번째 파티션의 시작지점(VBR)인 128583sector에서 새로운 파티션 추가(Add Partition)

//  확장 파티션이므로 ‘Unused Sectors before VBR = 63’

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성

Case ① Boot Record의 VBR위치 정보 손상된 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

-      손상여부 확인

a.       Unused Disk Area의 크기 확인

// 약 50 MB로 나타나, 파티션이 삭제되거나 인식되지 않았을 가능성 있음

b.       MBR 확인

Partition Table 확인 결과 총 2개의 Partition 정보가 수록되어 있으나, Encase에서는  C 드라이브 1개만 인식하고 있음

// Partition Table 해석 : 총 229824 섹터 중 첫 번째 파티션은 128457개의 섹터의 용량 차지, 시작 LBA는 63섹터. 두 번째 파티션은 96390섹터의 용량을 차지, 시작 LBA는 128458 섹터.

-      인식 오류 발생 원인

두 파티션 모두 Master Boot Record의 Partition Table에는 제대로 정보가 나타나 있었고, 첫 번째 파티션 (Primary Partition)은 VBR 또한 이상 없었지만, 두 번째 파티션의 경우 Extended Partition 으로 보이는데, BR에 VBR 위치 정보가 기록되어 있지 않아(손상) 인식이 되지 않음.