nist - Data Leakage Case(1) 1~3

Questions

 

1. What are the hash values (MD5 & SHA-1) of all images?

Does the acquisition and verification hash value match?

 

나머지 파일들도 동일한 방식으로 해시값을 확인하였으며, 최초 수집된 시점의 해시값과 지금 다운로드하여 분석하는 시점의 해시값이 같은지 확인하여 파일 변조를 확인하는 문제인 듯합니다.

 

 

2. Identify the partition information of PC image.

PC 이미지 파일에서 파티션 정보를 분별해라고 합니다.

FTK imager로 파티션 정보를 확인해 본 결과 아래와 같습니다.

 

partition 1

size : 100MB, filesystem : NTFS, start sector : 2048, total sector : 204800

 

partition 2

size : 20378MB, filesystem : NTFS, start sector : 206848, total sector : 41734144

 

 

3. Explain installed OS information in detail.

(OS name, install date, registered owner…)

이미징 한 단말기에 설치된 운영체제와 관련 정보를 찾아내라고 적혀 있습니다.

운영체제 정보를 확인하기 위해서는 레지스트리 정보를 확인해야 하며 일반적으로 C : \ Windows \ System32 \ Config 경로에 위치합니다.

이미지 파일의 하이브 파일을 추출하여 레지스트리 탐색기로 열어 보도록 하겠습니다.

 

ftk imager로 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 경로에 있는 레지스트리 파일을 복사 후 registry explorer를 이용해 해당 파일을 로딩한 다음 ~\SOFTWARE\Microsoft\Windows NT\CurrentVersion 경로로 이동하면 아래와 같이 수집 단말기의 운영체제 정보를 알아낼 수 있습니다.

 

참고로 winhex를 사용하게 되면 200kb를 넘는 파일은 유료 버전이 아니면 복사가 불가능하므로 참고 바랍니다.

 

다음 포스팅에서도 이어서 문제를 풀어 보도록 하겠습니다.

감사합니다!!!