도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파티션 복구 두번째 시간이네요. 파티션의 시작 위치는 VBR 입니다. VBR에 대해 알아 봅시다. VBR (Volume Boot Record) 논리적 볼륨의 첫 번째 섹터를 볼륨부트레코드(VBR)라고 합니다. Windows Vista, Windows 7 이후 버전은 기본적으로 첫 번째 논리적 볼륨이 물리적 섹터 2048번 섹터에서 시작합니다. 그러나, 실제로는 Windows XP의 경우와 마찬가지로 63번 섹터에서 첫 번째 볼륨이 시작하는 경우도 있습니다. 파티션 크기 NTFS VBR 안에는 해당 볼륨의 파티션 크기에 대한 정보가 있습니다. 파티션 크기는 섹터 오프셋 40 에서 8바이트의 값을 갖습니다. 파티션 크기는 MBR에서도 확인 가능하나, VBR에서도 ..

안녕하세요. 도깬리 포렌식스 입니다. 오랜만에 포스팅합니다. 오늘부터 몇 차례에 걸쳐 파티션 복구(Partition Recovery)에 대해 설명하고자 합니다. 유익한 시간 되시기 바랍니다. 파티션 복구 분석과정의 첫 단계는 물리적 디스크 전체에 대한 정보를 확인하는 것입니다. 기본적인 분석 순서 (1) MBR을 분석합니다. -> [Add Evidence] (2) BitLocker 여부를 조사하고 해제합니다. (3) Partition을 조사하고, 삭제된 파티션은 복구합니다. -> [Recovery Partition] (4) Filesystem Meta Data 영역을 분석하고, 삭제된 폴더를 복구합니다. -> [Recovery Folders] (5) Data 영역을 분석하고, 삭제된 데이터를 복구합니다...

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 케이스 만들기와 윈도우 비트락커(Windows BitLocker)에 대해 살펴 봅니다. 케이스의 폴더 구조 Case 폴더를 만들면 EnCase는 그 하부에 필요한 폴더를 자동으로 생성합니다. 새로운 Case를 만들게 되면 Case를 일단 만들면 무조건 한번 저장해 두는 것이 좋습니다. Windows BitLocker Window Vista 에서는 시스템 볼륨을 보호하기 위하여 출시한 기능입니다. Window Vista SP1 부터는 사용자 디스크도 지원하였습니다. Window 7 부터는 이동식 디스크도 지원합니다. BitLocker는 복구키(.BEK) 또는 패스워드를 입력해야 암호가 걸린 볼륨의 내용을 볼 수 있습니다. BitLocker를 설정하게 되면 복구키..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 분석을 종료한 후 케이스를 보관하는 방법에 대해 알아봅니다. 화이팅 하세요. 분석 데이터를 보관 관리하는 방법 분석이 완료되면 Case 폴더 안의 모든 자료는 이미지로 만들어 보관해야 합니다. 또한, Case 폴더 이외에도 다음과 같은 자료를 함께 보관해 둘 필요도 있습니다. 백업 케이스 파일과 사용자 데이터 C:\Users\\My Documents\EnCase 사용자 어플리케이션 환경 설정 파일 (viewers.ini, filetypes.ini) C:\Users\\AppData\Roaming\EnCase\Encase7-X 전역 어플리케이션 환경설정 파일, 보고서에 포함되는 이미지, 인덱싱 작업의 노이즈 파일 등 C:\ProgramData\EnCase\EnCas..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 증거이미지를 재작성하는 방법에 대해 살펴 봅니다. 이미 작성된 증거이미지에 대하여 사본 이미지를 만드는 등 증거이미지를 다시 작성해야 하는 경우가 간혹 있죠. 이제 시작할까요? 증거이미지 사본은 분석용 사본과 보관용 사본 2개를 만드는 것이 좋습니다. 분석용 사본 긴급하게 분석하여야 할 경우, 분석용 사본은 압축을 하지 않고 이미징합니다. 보관용 사본 보관 용량을 줄여야 하므로, 보관용 사본은 압축을 최대로 하여 이미징합니다. 원래의 증거이미지 파일과 중복되지 않도록 파일명을 다르게 하여 저장합니다. [Verify File Integrity…] 디바이스를 선택하고 재이미징한 것에 대한 해시값을 검증합니다. 감사합니다. 오늘도 즐거운 하루 되세요. "좋아요"와 ..

안녕하세요. 도깬리 포렌식스 입니다. 증거분석을 하다보면 증거 이미지 파일을 물리적 디스크로 복원하여야 하는 경우가 있습니다. 동적 분석환경을 만들어 컴퓨터 사용자 관점에서 데이터를 들여다 봐야 하는 경우, 실험을 해야 하는 경우가 그런 예 입니다. EnCase에서는 이것을 Device Restore 라고 합니다. 이제 시작해 볼까요? 물리적 드라이브 복원 증거 이미지의 모든 내용을 분석관이 만든 임의의 윈도우 드라이브에 섹터 단위로 복사하는 것을 말합니다. 복사될 드라이브는 원본 드라이브보다 사이즈가 더 커야 합니다. 물리적 복원을 하기 전에 미리 복사될 드라이브는 와이핑(wiping) 해 두는 것이 좋습니다. EnCase V7 이후의 디바이스 복원 (Device Restore) Evidence 탭에서..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파일 카빙 두번째 시간입니다. EnCase에서는 자동 카빙 기능을 제공합니다. 일반적으로 수동 카빙 보다는 자동 카빙 기능을 많이 이용 하시죠? 이제 자동 카빙에 대해 알아봅시다. EnCase V7 이후 버전에서의 자동 카빙 순서 (1) 먼저 카빙할 대상 파일의 기본 사이즈와 파일 헤더(File Header), 푸터(Footer, 값이 있는 경우에만)를 미리 확인해 둡니다. (2) EnCase Processor Options에 포함되어 있는 File Carver에서 File Types를 결정합니다. (3) Export Setting 에서 [Export Carved Files]를 체크하면, 자동으로 카빙된 파일을 내보내기 할 수 있습니다. (4) 카빙의 결과 확..

안녕하세요. 도깬리 입니다. ^^ 파일 카빙(File Carving)은 디지털 포렌식 기술의 꽃이라 할 만 합니다. 비할당 영역에서 데이터를 복원하는 이 기술은 현존하는 최고의 복원 기술입니다. 파일 카빙에 대해 알아 봅시다. 파일 카빙 (File Carving) 비할당영역을 대상으로 알려진 파일 헤더(File header, Signature)와 푸터(File footer, EOF(End Of File) Marker)를 이용하여 복원을 하는 기술입니다. JPEG를 제외한 대부분의 파일은 파일 전체를 복구해야 정상적으로 복원이 됩니다. JPEG와 같은 파일은 파일의 일부분만 복구해도 해당 부분만큼은 복원이 됩니다. EnCase V7 이후 버전에서의 수동 카빙 순서 (1) File Types 테이블에서 JP..

안녕하세요. 도깬리 포렌식스 (goblinforensics) 입니다.^^ 오늘은 EnCase를 이용한 협업기능(Review Pakage)에 대해서 알아 봅시다. 대용량 데이터에서 증거 가치가 있는 데이터를 찾는 작업은 포렌식 분석관 혼자의 힘으로는 매우 어렵습니다. 이런 경우 포렌식 분석관은 기술적 지원을 하고, 전문 검토자(Reviewer)가 데이터의 내용을 분석하는 방식으로 분업이 이루어 집니다. EnCase의 리뷰 패키지 (Review Package)는 포렌식 분석관과 전문 검토자의 협업을 지원합니다. 리뷰 패키지 (Review Package) 검색 결과물이나 북마크 한 것을 ‘리뷰 패키지’로 만들면 전문 검토자가 검토하기에 용이합니다. 검토자(Reviewer)는 포렌식 분석관의 태그를 사용할 수 ..

안녕하세요. 도깬리 포렌식스 입니다.^^ EnCase에는 내장형 보고서 생성기(built-in report generator)라는 강력한 모듈이 포함되어 있죠. 오늘은 북마크된 결과물을 분석보고서로 내보내는 기능에 대해 알아봅니다. 보고서 내보내는 방법 Bookmarks 탭의 4개의 기본 템플릿 Documents Pictures Email Internet Artifacts 보고서 내의 파일 개체는 자동으로 내보내어 지는 파일에 하이퍼링크 됩니다. 즉, 보고서를 보는 동안 하이퍼링크를 클릭하게 되면, 해당 파일이 Case 폴더 내의 Temp 폴더로 복사되면서 열립니다. 위 Temp 폴더내의 파일은 EnCase를 닫을 때 자동으로 삭제됩니다. Output 포맷 [Save As…]로 저장합니다. 5가지 보고서..