군대에서 포렌식을 쓸 일은 용사입장에서 웬만하면 없지 싶다.
지난 4월, 하루는 조식 짬을 먹다가 갑자기 옆 대대로 호출을 당했다.
통신쪽에 있으면 무조건 컴퓨터 좀 고쳐달라는 (혹은 포맷) 부탁인 줄 알았으나 생각보다 재미있는 일이 있었다.
" 사지방 PC 한 대 누가 비번 잠그고 도망가서 1달 동안 못쓰고 있어 "
그래서 범인이 누구인지 찾아서 특정해달라는 그런 문의(?) 였다.
조금 걸리는게 몇 가지 있긴 하지만 정당한 절차와 허락을 받고 본의 아니게 포렌식을 선보이게 되었다.
일단 걸린비번은 다른 전우들을 위해 얼른 풀어 뚫어주고, 범인은 사지방 PC에 깔린 싸지방 프로그램도 망가뜨려놨는지 디스크 복원 프로그램도 작동하지않은 상태로 일반 순정 윈도우처럼 컴퓨터가 동작하고 있었다.
하지만, 오히려 나한테는 좋았다.
사지방의 디스크복구가 이루어지지않아서 웹로그, 윈도우 이벤트로그가 그대로 남아있었기 때문..!
우선은 가볍게 인터넷로그를 서칭해보았다. 다행히 엣지 브라우저를 사용했었기 때문인지 WebCacheV01.dat 파일이 살아있었다.
(링크)What is WebCacheV01.dat ???
이글루 시큐리티의 웹 포렌식 관련 문서와 프로그램을 많이 참고했었다.
(링크)Microsoft Edge Web Browser Forensics
윈도우에 내장된 esentutl 툴 하고, IE10 Analyzer 사용해서 뒤적거렸는데 생각보다 쉽게 단서를 찾을 수 있었다.
바로 쇼핑몰에서 스니커즈를 뒤적거리던 기록..!
놀랍게도 해당 쇼핑몰은 URL 에 ID 가 입력되도록 설계되어있었다. 또한, 해당 URL 이 개인정보(Profile 페이지 정도 느낌?) 창이였는데 아무 인증없이 열람이 되었다.
그래서 옆에서 작업하는 걸 관찰하시던 간부님이 해당 ID 를 인스타에서 서칭해주셨고, 당연하게도 해부대 용사 한 명이 나왔다.
이 다음부터는 해부대 간부님들께 넘겨드렸는데, 해당 용사와의 1차 전화에서 잘 안풀리셨는지 나에게 확실한 증거(?) 가 없는지 물어보셨다.
그래서 확인사살...
언급했다시피, 그 PC 는 비밀번호가 걸려있는 채로 1개월동안 사용이 안되어있던 상태였기 때문에 내 생각에는 인터넷 히스토리들이랑 윈도우 이벤트로그에서 비밀번호 설정 행위와 부팅 행위들을 종합적으로 연관지어보면 해당 행위를 누가 했는지에 대해 명확성이 생길 것이라고 생각되었다.
이벤트로그 중, 보안로그탭이다
일단 내 예상대로 최초 쇼핑몰 접속 시간과 윈도우 부팅 및 계정 변경 로그가 얼추 맞았다.
비밀번호가 걸린 계정은 새로 만들어진 계정이었기에 위 코드의 이벤트로그와 더불어 비밀번호 변경 이벤트 로그까지 같이 기록되어있었다.
세세한 것 까지 다 기록되는 이벤트 로그의 위엄이 느껴지는 부분이었다...
여기까지 다 채증 후, 최종 보고 드리고 내려오게 되었다. 해당 용사가 어떻게 처분되었는지는 잘 모르겠지만 약간 미안한 감도 든다.
(긍까 왜 비번을 걸어가꼬;;)
군생활 얼마 안남았다. 시간이 정말 안가는 시기다... 매일 전화받고 모니터 들여다보는 일상 속에서 가끔은 이런 특이 상황도 있는게 좋은 것 같다.
오늘 잡설 끝
'<사는이야기>' 카테고리의 다른 글
2021년 한전 전력데이터 활용 신서비스 개발대회 수상! (0) | 2021.11.24 |
---|---|
ASUS 젠북 14 UM425QA-KI063 1주일 사용리뷰 (8) | 2021.08.08 |
2021 군생활 말년에 한 액땜 (0) | 2021.05.11 |
암호화폐 사기(scam) 탐방기 (0) | 2020.12.28 |
2019 코드게이트 해킹시연 공모전 (0) | 2020.09.15 |