도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적 분석 마지막 시간입니다. 모두 화이팅하세요.!!! HKLM\System\MountedDevices 시스템 레벨에서 볼륨 마운트 포인트의 위치를 저장한 것 입니다. 볼륨을 접근할 때 사용한 볼륨 식별자와 볼륨 마운트 포인트에 대한 정보를 제공합니다. 드라이브 문자 엔트리는 다른 볼륨에 의해 재사용되어지는 경우가 매우 많음에 주의해야 합니다. MountedDevices 에는 볼륨 식별자(GUID)가 기록되긴 하지만, ‘키’가 아니라 ‘값’으로 존재하기 때문에 마지막 수정날짜가 표시 되지 않습니다. 다행히 MountPoints2 키에서 위 볼륨 식별자가 ‘키’ 형식으로 존재하므로 마지막 수정날짜를 확인 가능합니다. MountPoints2 위..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적 두번째 시간입니다. 모두 화이팅하세요!! 윈도우 레지스트리 데이터를 이용한 분석 HKLM 시스템 레지스트리 데이터 MountedDevices Registry 키의 ControlSet 폴더에 포함된 중요 정보들은 다음과 같습니다. - Enum\STORAGE - Enum\USB - Enum\USBSTOR - Enum\WpdBusEnumRoot - Control\DeviceClasses Control\DeviceClasses 데이터 각각의 GUID는 장치의 종류를 의미합니다. 53F56307-B6BF-11D0-94F2-00A0C91EFB8B --> Disk A5DCBF10-6530-11D2-901F-00C04FB951ED --> 허브에 연결..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적에 대한 분석기법을 알아 보겠습니다. 데이터 절취 또는 기술 유출 등의 사건에서 주요 분석 항목에 포함되는 아티팩트(Artifacts)라고 할 수 있습니다. 오랜만에 비가 멎고 아침 햇살을 보게 되었네요. 오늘도 화이팅 하세요. 이동형 USB 메모리 장치와 관련된 범죄 유형 - 데이터 절도 - 불법 어플리케이션 - 불법 데이터 저장 - 암호화된 데이터 저장 - 바이러스 배포 - 신원정보 절도 - 어플리케이션 임의 실행 USB 장치의 구조 USB 장치는 USB-IF (USB Implementers’ Forum)라는 비영리 기관의 규격에 따라 제작됩니다. www.usb.org USB 장치의 Device Descriptor의 구조 Offset..

안녕하세요. 도깬리 포렌식스 입니다. 어제는 수도권에 물폭탄이 떨어져 고생이 많으셨죠. 이제 비가 그만 왔으면 좋겠네요. 오늘도 윈도우 검색 흔적에 대한 분석을 이어 갑니다. 화이팅 하세요. 윈도우 검색 데이터베이스 파일 조사하기 (Windows.EDB) 윈도우 검색 관련 가장 유용한 정보입니다. 저장 위치는 레지스트리에 기록되어 있습니다. HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows 일반적으로 다음의 위치에 저장됩니다. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb 확장가능 저장 엔진 (Extensible Storage Engine (ESE)) JetBlue 라고 불리..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우에서 검색한 흔적에 대한 분석 방법을 알아보겠습니다. 모두 화이팅하세요! 윈도우 검색 윈도우 검색은 Windows Vista, Windows 7 이후 버전에서 기본적으로 동작하는 인덱스 기반 검색 기능을 말합니다. 구버전에서는 Windows Desktop Search 라고 불리워 지기도 합니다. 검색을 하게 되면, 파일명 또는 파일내용에서 검색단어를 찾습니다. 파일내용 검색은 MS Office, Outlook, TXT, XML, ZIP 등 일부 포맷의 경우에만 가능합니다. 또한 파일내용 까지 검색하게 하려면 다음 설정 창에서 추가하거나 변경하면 됩니다. 윈도우 검색 서비스 (Windows Search Service, WSS) WSS는 항목의 메타데이터와 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 Zip 파일 복구에 대하여 알아 보겠습니다. 모두 화이팅 하세요. MS 워드 문서와 관련된 어플리케이션 MS Office 2007 이후로 오피스 문서는 데이터를 압축된 XML 스트림 형식으로 저장하는 방식으로 바뀌었습니다. 워드 문서를 ZIP 파일로 이름을 바꾸고, WinRAR에서 열어 보면 압축된 XML의 구조를 확인할 수 있습니다. .docx 파일의 주요 body 부분은 word/document.xml 스트림에 저장됩니다. 임베디드된 이미지들은 word/media 스트림에 저장됩니다. 위 둘은 word/_rels/document.xml.rels 스트림을 사용하여 상호 참조하게 됩니다. 압축된 ZIP 파일을 대상으로 하는 키워드 검색은 효과가 없습니다. 그러..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Zip 파일 복구에 대하여 알아 보겠습니다. 며칠째 계속 비가 내리네요. 기운 잃지 마세요. Zip 포맷 개요 ZIP 포맷의 개발자: Phil Katz OS 안에 ZIP 파일을 만들고 풀 수 있는 기능이 내장되어 있습니다. - Windows Explorer - Mac OS X Finder 파일의 형식 ZIP 포맷에 대한 정보는 KPWARE 사이트에서 APPNOTE.txt 다운받아 확인 가능합니다. ZIP 파일에 포함된 모든 개별 파일은 각각의 로컬 파일 헤더와 중앙의 디렉토리 헤더를 모두 갖습니다. 각각의 파일에 대한 압축된 데이터는 각 파일의 로컬 파일 헤더의 바로 다음에 위치합니다. ‘중앙의 디렉토리 헤더’가 있기 때문에 ZIP 파일에 포함되었던 개별 데이..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 볼륨 새도우 카피(VSC) 분석 마지막 시간입니다. 어제 오늘 너무 덥네요. 비라도 시원하게 내렸으면 좋겠어요. 모두 화이팅 하세요. 볼륨 새도우 카피에 대하여 이미징 하기 DD를 이용하여 이미징을 합니다. George Garner의 dd (http://www.chrysocome.net/dd)를 다운로드합니다. dd if=\\.\HarddiskVolumeShadowCopy# of=vss.img –localwrt - #은 숫자입니다. - 새도우 카피가 여러 개 있을 경우 이미징 용량이 대용량일 수 있으므로 이미지 파일을 저장한 충분한 공간이 미리 확보해 두어야 합니다. VSC 데이터를 마운트 하기 윈도우에서는 VSC 데이터를 virtual network shar..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 볼륨 새도우 카피 데이터 분석 2번째 시간입니다. 열대야 때문에 힘든 밤을 보냈네요. 모두 힘내세요. 제외된 파일들 볼륨 스냅샷 과정에서 특정 파일들을 제외할 수 있습니다. 제외 대상 파일은 다음 레지스트리 키에 저장됩니다. HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot 위 키에 저장된 파일은 백업을 생성할 때 제외되는 것이 아니라, 복구 시점에서 제외됩니다. VSC 데이터 Volume Shadow Copy Service (VSC) 데이터는 System Volume Information 폴더에 저장됩니다. 차등 데이터(differential data)는 파일이름을 GUID로 표시되..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 볼륨 새도우 카피 서비스 (Volume Shadow Copy Service) 데이터에 대한 분석 방법론을 알아보겠습니다. 다소 난이도가 높아 깊은 이해를 필요로 합니다. 화이팅 하세요. VSC개요 Volume Shadow Copy는 파일시스템 쓰기가 계속 진행 되는 동안 볼륨 백업을 생성하게 합니다. System restore point가 생성되었거나 윈도우 백업 어플리케이션으로 백업을 생성하였을 때 VSC를 사용하여 백업되었던 과거의 파일을 복구할 수 있습니다. VSC의 구성요소 VSC Service VSC Requester - System Restore와 Windows Backup 어플리케이션은 여기에 해당합니다. VSC Writer VSC Provid..