안녕하세요. 도깬리 포렌식스 입니다.
오늘은 복합파일 (Compound Files)과 그 조사 기법에 대하여 설명합니다. 복합파일을 분석하기 위해서는 전처리 과정이 필요합니다. 압축 파일이 대표적이죠. 압축은 풀어야 파일을 열람할 수 있겠죠. 압축을 푸는 과정이 바로 전처리 과정입니다. 이제 시작해볼까요?
복합파일이란
복합파일(Compound Files)은 파일 안에 또 다른 내부 파일 구조를 갖는 것을 말합니다.
예) 레지스트리, MS Office 파일, 이메일 파일, 압축 파일
복합파일과 논리이미지
복합파일은 Evidence Processor를 이용하여 자동으로 마운트 하고, 그 결과물은 논리이미지(.L01)로 만들 수 있습니다.
.L01 포맷으로 만들지 않고, 단순히 마운트만 하면 RAM 공간의 부족으로 다운될 우려가 있으니, 가능하면 논리이미지로 만들어 두는 것이 바람직합니다.
[View File Structure]
수동으로 복합파일 구조를 파싱(Parsing)하여 보여줍니다.
실행 후, 복합파일의 아이콘에 ‘+’ 표시가 보여집니다.
- 마우스 왼쪽 클릭 : 파일의 내부구조 보기
- 마우스 오른 클릭 : 파일 내용 열람
복합파일의 마운트
복합파일의 경우, 키워드 검색 전에 미리 마운트하는 것이 좋습니다.
Evidence Processor를 실행해도 문서파일과 압축파일만 마운트 됩니다.
따라서 나머지 복합파일들은 직접 마운트 시켜 주어야
복합파일 조사 1 : 레지스트리(Registry)
4개의 일반 레지스트리 : system, software, SAM, SECURITY
1개의 사용자 프로파일 : NTUSER.DAT
복합파일 조사 2 : OLE 파일
Microsoft’s Object linked Embedded 기술이 적용된 파일이 OLE 파일입니다.
이런 기술을 공통으로 적용하기 때문에, Excel sheet가 Word 문서에 통합가능하고, HWP 문서도 결구 OLE 기술을 적용하므로 MS Office 문서와도 통합, 호환 가능합니다.
OLE 디렉토리 구조에서는 문서의 생성일시, 어플리케이션 버전 등 메타데이터를 확인 가능합니다.
[Generic XML Browser EnScript]
.docx 등 MS Office 문서파일은 기본적으로 압축되어 있으므로, 이를 마운트 시켜야 키워드 검색이 가능합니다.
복합파일 조사 3 : Zip 압축 파일
압축파일도 마운트 해야만 키워드 검색이나 인덱스 검색이 가능합니다.
마운트 한 것들은 RAM 자원사용을 최소화 하기 위해 가능하면 LEF 논리이미지로 만들어 두는 것이 좋습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 윈도우 레지스트리 (Windows Registry) (2) (0) | 2022.03.15 |
|---|---|
| [EnCase] 윈도우 레지스트리 (Windows Registry) (1) (0) | 2022.03.13 |
| [EnCase] 파티션 복구 (Partition Recovery) (5) (0) | 2022.03.08 |
| [EnCase] 파티션 복구(Partition Recovery) (4) (0) | 2022.03.06 |
| [EnCase] 파티션 복구 (Partition Recovery) (3) (0) | 2022.03.03 |