[DFC 2021] 202 (1-3)

[DFC 2021] 202 (1-3)

문제에서 요구하는 바는 다음과 같다.

[문제 풀이]

[1번]

문제에서 Alice_Gear_S3.ad1 파일을 제공하고 있다.

* ad1 파일: AccessData Group, LLC. 에서 개발한 Forensic Toolkit FTK Imager Image 파일

FTK Imager에서 ad1 파일을 열 수 있을 듯 하다.

여기서 1번 답을 얻으려면 삽질밖에는 답이 없어 보인다…

정답이 있을 것 같은 폴더만 열어보자

우선 사용자 파일 시스템인 usr 폴더를 보면

폴더가 많다. 무엇을 먼저 볼까?

data 폴더를 먼저 봤다.

여기서는 정보를 찾기가 쉽지 않을 것 같다.

home 폴더를 확인해보자.

guest와 owner 딱 두 개의 폴더가 존재한다.

아무래도 정보가 존재한다면 owner 폴더에 있을 것 같은 느낌이다.

여기저기 폴더를 보다가 apps_rw 폴더를 봤다.

com.samsung.w-manager-service 폴더 내부를 보면 데이터 폴더가 또 하나 존재한다.

그 폴더 안에는 ~Status.xml 파일이 두 개 존재하는데 하나는 HostStatus, 하나는 WearableStatus인 것으로 보아

하나는 1번, 하나는 2번 문제에 사용할 수 있을 것 같다.

1번은 Wearable Device에 관한 정보를 찾는 문제이므로 WearableStatus.xml 파일을 먼저 봤다.

1번 문제에서 요구하는 정답을 한 번에 찾아낼 수 있다.

Device Model Name: Samsung Gear C

SW version: R775SKSU2FUD1

Device OS, Version: Tizen 4.0.0.7

Serial Number: R5AJ30186D

Device MAC address: 40:D3:AE:68:AC:EB

WiFi MAC address: 40:D3:AE:68:AC:EC

[2번]

1번에서 발견한 HostStatus.xml 파일을 열어보았다.

1번과 마찬가지로 대부분의 정답을 여기서 찾을 수 있었다.

Device Name: Galaxy S7 edge

Device OS/Version: Android 8.0.0

SW Version: R16NW.G935LKLU3ETJ1

Samsung account를 찾지 못했기 때문에 계정 정보를 찾아야 한다.

DB Browser for SQLite 프로그램을 사용해야 한다고 힌트를 받았는데,

아직 데이터베이스 파일을 발견하지 못했기 때문에, 여기서부터는 데이터베이스 파일을 찾는 데 중점을 뒀던 것 같다.

가장 상위 폴더 중에 dbspace라는 폴더가 있었다.

이 폴더 안을 보면 .account.db 파일이 보인다.

db 파일을 추출하여 DB Browser for SQLite 프로그램에서 열어보았다.

아무것도 안 나옴… 이 파일이 아닌 것 같다.

dbspace 폴더 안의 5001 폴더 안에도 동일한 이름의 db 파일이 하나 있었다.

마찬가지로 db 파일을 추출하여 프로그램에서 열어 보면

dfc.alice@gmail.com 발견

[3번]

Alice가 왜 나갔는지를 알아내려면 대화 내용을 찾아내는 것 말고는 방법이 없다고 생각했다.

앞서 사용했던 apps_rw 폴더 안에서 /com.samsung.message/data/dbspace/.msg-consumer-server.db 파일을 발견했다.

한 번에 정답을 찾아낼 수 있었다면 좋았겠지만

이런 식의 재난문자 뿐이다.

문자가 아니라면 메일?

파일 찾아보다가 wemail이라는 게 있길래 찾아봤더니 안드로이드용 메일 어플? 이라는 것 같았다.

/usr/home/owner/apps_rw/com.samsung.wemail/data/dbspace/.wemail.db

.wemail.db 파일을 프로그램에서 열면 email_noti_tbl 테이블에서 메일 목록 확인이 가능하다.

메일 내용을 쭉 보다보면

“Fast and Furious”라는 이름의 영화를 보러 가고자 하는 것 같다.

그럼 Alice는 자가격리 중에 핸드폰을 집에 두고 분노의 질주 영화를 보러 가는 것으로 확인

[문제 정답]

Device Model Name: Samsung Gear C

SW version: R775SKSU2FUD1

Device OS, Version: Tizen 4.0.0.7

Serial Number: R5AJ30186D

Device MAC address: 40:D3:AE:68:AC:EB

WiFi MAC address: 40:D3:AE:68:AC:EC

Device Name: Galaxy S7 edge

Device OS/Version: Android 8.0.0

SW Version: R16NW.G935LKLU3ETJ1

Samsung Account: dfc.alice@gmail.com

Why did Alice go out?: “Fast and Furious” 영화를 보기 위해 자가 격리 중 나간 것으로 확인된다.

[문제 풀이 후기]

처음에 파일 설치부터 제대로 안 돼서... (이건 내 노트북의 일시적인 문제였다.) 황당했었다.
FTK Imager도 제대로 실행이 안 돼서 (이것도 해결됨) 시작부터 머리가 아팠는데
막상 풀어보니까 파일만 잘 찾으면 생각보다 간단한?.. 문제였던 것 같다.

라이트업에는 자세하게 적지 않았지만 필요한 파일을 찾는 데 꽤나 많은 시간을 소요했는데,
해당 문제의 경우 Alice가 가지고 있는 기기에 대한 정보를 찾아내야 하는 문제였으므로
사용자 파일 시스템인 usr을 가장 먼저 보는 게 보편적인 것 같다고 생각했다.

폴더를 확인할 때는 무작정 보는 게 아니라 많은 폴더 중에서 어디에 내가 찾고자 하는 정보가 있을지 아는 게 제일 중요한데...
나는 잘 모르겠으니 그냥 무작정 이것저것 확인해봤다.

apps_rw가 Tizen의 프레임워크라는 사실을 알게 되었으니 apps_rw 폴더를 확인한 것이지 아니었으면 그냥 넘어갔을지도...

guest와 owner 폴더 중에서는 당연히 Alice가 그 기기의 주인이므로 owner 폴더를 확인해보는 것처럼 생각해야 한다.

늘 이런 파일 구조를 확인할 때가 가장 어렵다.

WEFA가 사용된다고 힌트를 받았었는데, WEFA는 어디서 어떻게 사용해야 했을지가 가장 궁금하다.
나는 FTK Imager, DB Browser for SQLite만을 사용해서도 문제 해결이 가능했는데....

(ad1 파일 자체가 FTK Imager의 Image 파일이라 해당 프로그램을 사용하면 파일 구조를 한 번에 확인할 수 있었고,

파일 구조를 확인하면서 얻은 데이터베이스 파일을 DB Browser for SQLite에서 열면 정보를 얻을 수 있었다.)

WEFA는 어디서 어떻게 사용했어야 하는지가 의문이다!!내가 사용했던 툴 두 가지는 이전에 방학 때도 써봐서 금방 풀 수 있었던 것일 수도 있다는 생각이다.

(팀원들은 아직 툴을 제대로 사용해본 적이 없어서 툴 사용에서 난항을 겪는 것 같았다...)

아무튼 방학 때 포렌식 트랙을 들어서 팀원들에게 도움이 될 수 있어서... 다행이다!!