Dreamhack: 포렌식 입문(Forensics Path) 워게임 풀이 및 도구 활용 정리

최근 드림핵(Dreamhack)의 로드맵 중 하나인 포렌식 입문를 진행하며 워게임 문제들을 해결했습니다.

단순히 이론으로만 접하던 포렌식 기법들을 실제 로(Raw) 데이터와 디스크 이미지를 분석하며 익힐 수 있었던 유익한 시간이었습니다. 이번 글에서는 주로 사용했던 도구들과 문제 해결 접근법을 정리해 봅니다.

🛠️ 주요 분석 도구

이번 패스를 진행하면서 가장 많이 활용한 두 가지 핵심 도구입니다.

1. HxD (Hex Editor)

파일의 16진수 데이터를 직접 확인하고 수정할 수 있는 도구입니다.

• 활용: 파일 시그니처(File Signature) 분석을 통해 손상된 파일을 복구하거나, 파일 내부에 숨겨진 특정 문자열(Flag)을 검색하는 데 주로 사용했습니다.
• 느낀 점: 데이터의 ‘민낯’을 보는 과정이 흥미로웠고, 헤더 푸터 정보만으로 파일 형식을 식별하는 능력을 기를 수 있었습니다.

2. Autopsy (Digital Forensics Platform)

디스크 이미지나 드라이브에서 삭제된 파일을 복구하고 타임라인을 분석하는 종합 포렌식 툴입니다.

• 활용: .E01이나 .raw 같은 디스크 이미지 파일을 로드하여 사용자 활동 기록을 추적하고, 삭제된 흔적 속에서 중요한 단서를 찾아내는 데 필수적이었습니다.
• 느낀 점: 수많은 데이터 중 유의미한 정보를 필터링하는 효율적인 분석 프로세스를 익힐 수 있었습니다.

🚩 워게임 풀이 과정 및 주요 기법

문제를 풀면서 공통적으로 사용했던 포렌식 관점의 접근법들입니다.

파일 시스템 분석 및 복구

포맷팅된 디스크나 손상된 파티션 내에서 데이터를 추출하는 문제들이 많았습니다. 특히 파일 시스템(FAT32, NTFS 등)의 구조를 이해하고 있어야 풀 수 있는 문제들이 인상 깊었습니다.

아티팩트(Artifact) 추적

윈도우즈 시스템 내에 남는 다양한 흔적들을 분석했습니다.

• LNK 파일, Prefetch: 어떤 프로그램이 실행되었는지 확인
• Browser History: 사용자가 어떤 사이트에 접속하고 무엇을 다운로드했는지 추적

💡 학습 소감

드림핵 포렌식 패스를 통해 데이터를 보는 시야가 넓어졌습니다. 특히 HxD로 데이터의 세부 단위를 살펴보고, Autopsy로 전체적인 숲을 보는 과정을 반복하면서 디지털 증거 분석의 전체적인 흐름을 파악할 수 있었습니다.