[Digital Forensic] FTP 사용 흔적

- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182

* FTP 사용 흔적
- FTP를 사용한 흔적을 조사할때는 로그 파일의 확보가 중요하다
(사실 확인할 정보는 로그파일 안에서도 국한되어 있다보니 FTP Passive/Active 모드 이런 정보는 무조건적으로 알아야 한다거나 그런것도 아니다)
- FTP는 프로그램도 FileZilla, ALDrive 등 굉장히 다양하지만 로그 유형은 대부분 비슷하다
(단, 로그파일 저장 경로는 사용자 커스텀도 되다보니 모두 다를 수 있다)

 

 

 

* Filezilla 예시
- 가장 만만한게 Filezilla이긴 하다, 아주 직관적이기도 하고 실제 포렌식 시험에 단골로 등장했다.
(로그 파일로 낚시를 한다던지, FTP 계정만 노출시키고 패스워드는 별도 스테가노그래피 처리한다던지 등..)
- 앞서 말했듯 로그 파일을 찾는 것이 가장 중요하기 때문에 filezilla.log(기본 이름)을 찾아야 한다.
- 기본 경로는 C:\Program Files\FileZilla FTP Client\ 에서 찾을 수 있지만 이 또한 사용자 커스텀이 가능하기 때문에 경로와 파일이름은 언제든 바뀔 수 있음을 명심하자

- 위는 Filezilla 로그의 예시이며 내부 내용을 보면 중요 정보를 읽어내는데 크게 어려움이 없다.
- 다른 FTP 프로그램 또한 로그 자체는 크게 어렵지 않다 (즉, 파일을 찾는 것이 중요)
- 그렇기에 보통은 %UserProfile%(유저 계정 폴더 의미)\AppData\Roaming 경로에서 사용자가 설치하여 사용한 프로그램들을 확인하여 가닥을 잡고 추적하는 것이 더 편할 수 있음
- 몇몇 파일은 굳이 포렌식 툴 내에서 Extract 하지 않고도 직접적으로 내용 확인이 가능한 경우가 존재하여 빠르게 확인이 가능하기도 함