Digital Forensics Tool Testing Images : 디지털 포렌식 도구 테스트 이미지(#2)

http://dftt.sourceforge.net/test2/index.html

FAT Keyword Search Test

디지털 포렌식 프로그램을 테스트하는 사이트 이지만 이사이트를 통해 포렌식을 연습해봅시다.

저는 Accessdata회사의 FTK imager 프로그램을 이용해서 실습을 진행하였습니다.

https://accessdata.com/product-download/ftk-imager-version-4-5

FTK Imager Version 4.5

FTK Imager를 실행한 모습입니다.

위에 dftt 링크에 들어가서 문제파일을 다운로드한뒤 .dd 파일을 이미지 파일로 추가하여 문제를 풀어봅시다.

문제들은 이미지 파일을 열어보면 나오는 파일들에 쓰여진 문자들을 찾는 문제입니다.

Standard Terms

컨트롤 + F 로 찾아보겠습니다.

1번 문제:file1.dat 에서 frist 라는 문자를 in file  파일 안에 넣어 놓았다고 합니다.

2번 문제:file2.dat 에서 SECOND 라는 문자를 in file 파일 안에 넣어 놓았다고 합니다.

공백):N/A 파일을 지정하지않고 SECOND라는 문자를 in dentry - file name 파일 이름으로 넣어 놓았다고합니다.

3번 문제:file1.dat and /file2.dat 파일1과파일2 에서 1cross1 라는 문자를

crosses two allocated files 할당 되어있는 파일에 넣어 놓았다고합니다.

(파일을 전부합쳐서 찾기(연속되어져 있기떄문에가능)

 

1번파일/2번파일

4번 문제:file3.dat 파일에 2cross2 라는 문자를 crosses consecutive sectors in a file 파일속의

연속하는 섹터에 넣어 놓았다고합니다.

------ 실선으로 구분되어있습니다. (섹터)

5번 문제:N/A파일을 지정하지 않고 3cross3 라는 문자를 crosses in

unalloc 할당되지않은곳에 넣어 놓았다고합니다.

6번 문제file2.dat and file2.dat slack 파일2와파일2의 슬렉에서 1slack1라는 문자를

crosses a file into a slack 파일을 슬렉으로 교차해 넣어 놓았다고 합니다.

슬랙->데이터를 저장하고 남은 나머지 공간을 말합니다. 종류)파일시스템슬랙,램슬렉,드라이브슬랙,볼륨슬랙

여기서는 파일시스템 슬랙으로써 클로스터 단위로 나뉜뒤 남은 공간을 슬랙이라고합니다.

파일2/파일2의 슬랙

7번 문제:file3.dat slack and file4.dat 파일3 슬렉과 파일4에 2slack2라는 문자를

crosses slack into a file슬렉을 파일로 교차해 넣어 놓았다고합니다.

(파일을 전부합쳐서 찾기(연속되어져 있기떄문에가능)

파일3번의 slack    /      파일4번

8번 문제:file4.dat slack 파일에 3slack3라는 문자를 in slack 슬렉에 넣어 놓았다고합니다.

9번 문제:file4.dat라는 파일에 1fragment1라는 문자를 

crosses fragmented sectors 조각난 섹터들 사이에 넣어 놓았다고합니다.

-----실선으로 구분되어있는 (섹터)

10번 문제:file6.dat 라는 파일에 2fragment sentence2라는 문자를

crosses fragmented sectors on ''    ''에서 조각난 섹터에 넣어 놓았다고합니다.

11번 문제:file5.dat (deleted)지워진 파일5에deleted라는 문자를 deleted file 지워진파일에넣어 놓았다고합니다.

clus = 7인 걸로보아 파일을 하나하보며 clus 가 7인파일을 보면 어떤파일이 file5.dat인지 알 수 있습니다.

clus = 7 로 같은 걸 보아 이두파일 모두 file5.dat의 정보를 담고있는것 같습니다.

!ILE5.DAT 은 root 폴더에 00007파일은 unallocated space 폴더에 담겨져 있습니다.

 

12번 문제:file7.dat 라는 파일에 a?b\c*d$e#f[g^ 라는 문자를 regexp values 정규표현식으로 넣어 놓았다고합니다.

 

Variations 

13번 문제:FirST라는 문자열을 검색하는데 should find 'first' first 를 찾도록하라는 문제입니다.

검색옵션을 이용하는 문제입니다.

14번 문제:f[[:alpha:]]rst 라는 문자열을 검색하는데 should find 'first' first 를 찾도록하라는 문제입니다.

regular Expression으로 체크해주면 정규 표현식을 이용해 찾아서 [[:alpha:]] 즉 모든 알파벳을 검색합니다.

fprst 라는 문자가 있어도 찾아지겟군요.

 

15번 문제:f[a-z]r[0-9]?s[[:space:]]*t 라는 문자열을 검색하는데 should find 'first' first 를 찾도록하라는 문제입니다.

regular Expression으로 체크해주면 정규 표현식을 이용해 찾아서

f+(a-z a와 z 사이의 문자)+r+(0-9사이의 문자)?(선행 요소의 0개 또는 1개의 인스턴스를 의미합니다.)+s+[[:space:]]*+t

*의 의미 별표 문자는 선행 요소의 0개 이상의 인스턴스를 의미합니다.

?의 예제 do?g = {dg , dog} doog X dooog X

있을수도 없을수도 있다 라는 것입니다. 여기서는 숫자가 있을수도 없을수도 있다라는 의미입니다.

*의 예제 do* = {d,do, doo, dooo, doooo ....}

있을수도 없을수도 있지만 뒤에 더붙을수도 있다 라는 것입니다. 여기서는 공백이 있을수도 더있을수도 없을수도 있다는 의미 입니다.

 

16번 문제:d[a-z]l.?t.?d 라는 문자열을 검색하는데 should find 'deleted'  deleted를 찾도록하라는 문제입니다.

regular Expression으로 체크해주면 정규 표현식을 이용해 찾아서

d+[a-z]+l+?+t+.?+d

. 의 의미점 또는 마침표 문자는 줄 바꿈 문자를 제외한 모든 문자를 나타냅니다.

d+ (a~z까지의 문자)+l+?+t+.?+d

?=글자가 있을수도 없을수도있다.

.?=모든글자중에 하나가 있을수도 없을 수도있다.

eg= do. = {do,dog,dot,dos,don,doe...}

 

17번 문제:[r-t][[:space:]]?[j-m][[:space:]]?[a-c]{2,2}[[:space:]]?[j-m] 라는 문자열을 검색하는데

should find '1slack1', '2slack2', '3slack'  1slack1, 2slack2, 3slack를 찾도록하라는 문제입니다.

처음 검색했을떄/두번째 검색했을때/세 번째 검색했을때

 

18번 문제:[1572943][[:space:]]?fr.{2,3}ent[[:space:]]? 라는 문자열을 검색하는데

should find '1fragment', '2fragment' 1fragment1,2fragment를 찾도록하라는 문제입니다.

1fragment/2fragment

 

 

19번 문제:a\??[a-c]\\*[a-c]\** 라는 문자열을 검색하는데

should find a?b\c* a?b\c* 를 찾도록하라는 문제입니다.

20번 문제:[[:alpha:]]\??x?y?Q?[a-c]\\*u*[a-c]\**d\$[0-9]*e# 라는 문자열을 검색하는데

should find a?b\c*d$e#  a?b\c*d$e#를 찾도록하라는 문제입니다.

Digital Forensics Tool Testing#2 end