도깬리포렌식스

안녕하세요. 도깬리포렌식스입니다. 오늘은 EnCase 환경 안에서 분석보고서를 작성하는 법을 알아 보겠습니다. 분석도구에 내장된 보고서 작성기능을 이용하면 프로세싱한 결과를 그대로 연동하여 문서화할 수 있는 장점이 있습니다. 함께 도전해볼까요? 템플릿에 새로운 Reports, Sections 추가하기 Bookmarks의 내용을 Report로 바로 볼 수 있습니다. Bookmarks에 새로운 폴더를 추가한 경우에는 Report Templates 에도 Reports 또는 Sections를 추가해 주어야 합니다. 보고서 수정, 보고서에 폴더 추가하기 EnCase V7 이후 버전의 기본 북마크 폴더 Documents Pictures Email Internet Artifacts 위 기본 북마크 폴더 이외에 Boo..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 윈도우 휴지통 2번째 시간입니다. 일요일이지만 함께 힘내 볼까요? 화이팅!!! [Windows Artifacts Parser] --> [Recycle Bin Files] 파일 삭제로 인해 MFT 엔트리에 미치는 영향 $MFT는 1024 바이트의 레코드로 이루어진 일종의 데이터베이스입니다. $MFT Header 삭제 여부를 알려주는 플래그입니다. - 0x0000 --> 삭제된 파일 - 0x0100 --> 할당된 파일 - 0x0200 --> 삭제된 폴더 - 0x0300 --> 할당된 폴더 표준정보 속성 ($STANDARD_INFORMATION_ATTRIBUTE) 포함된 주요 정보는 - 생성일시/수정일시/접근일시/엔트리수정일시를 포함합니다. - Windows 64bi..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 휴지통 분석에 대해 이야기 해볼께요. 윈도우 휴지통은 삭제된 파일에 대한 복구 뿐만 아니라, 사용자의 SID를 비롯하여 사용자의 컴퓨터 사용 행위를 분석할 수 있는 다양한 정보를 포함하고 있습니다. 자, 시작해볼까요? $Recycle.bin 휴지통은 폴더가 아니라, 하나의 ‘유틸리티’로 이해하기 바랍니다. 휴지통은 삭제된 파일을 복원하는 기능을 가지고 있으나, 파일을 관리하는 파일시스템과는 관련이 없습니다. 휴지통은 운영체제가 갖고 있는 일종의 ‘사용자 편의 유틸리티’입니다. $I, $R 삭제된 하나의 개체에 대하여 2개의 파일($I, $R)이 휴지통에 생성됩니다. EnCase는 $I의 엔트리의 내용을 읽어서, 그 내용을 Names, File Delec..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 프린터 인쇄의 흔적에 대해서 알아 봅시다. 프린터 관련 분석은 크게 프린터 설치와 사용의 흔적, 인쇄된 자료에 관한 흔적을 대상으로 합니다. 인쇄 스플링 파일을 분석하면 인쇄된 자료(정확히는 인쇄를 시도한 자료)를 확인할 수 있습니다. 인쇄 스풀러 구성요소 인쇄 스플링(Print Spooling) 인쇄될 데이터와 인쇄 작업을 완료하기 위한 충분한 정보를 포함하는 임시 파일을 생성하는 과정을 말합니다. Spooling 인쇄 작업 내용을 디스크의 파일에 쓰는 과정을 의미합니다. 이것은 원래 전원이 갑자기 중단되거나 시스템의 오류 발생시, 데이터의 손실을 방지하기 위한 것입니다. Despooling 스풀 파일의 내용을 읽고, 이를 지정된 프린터로 보내는 과정을 의미..

안녕하세요. 도깬리 포렌식스 입니다. 인터넷 아티팩츠 2번째 시간이네요. 전 시간에 이어서 Internet Explorer 에 대해 설명을 이어가겠습니다. 사실 최근의 인터넷 아티팩츠는 주로 Chrome 위주로 재편되고, MS 전용인 Edge나 IE V10 이후 버전은 아래의 설명과는 달리 WebCacheV01.dat 라는 통합 DB에 저장됩니다. 이에 관해서는 차후 설명할 시간이 있을 겁니다. 우선은 IE 구버전의 아티팩츠를 숙지하도록 합시다. 자, 오늘도 활기차게..... [Evidence Processor] -> [Find Internet Artifacts] Record 탭에서 결과를 확인합니다. 히스토리 Record의 컬럼 항목 Name 레코드 데이터를 포함하고 있는 소스 파일 이름입니다. Pro..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 인터넷 접속 흔적에 대해서 살펴 보겠습니다. 과거에 가장 많이 사용하였던 Internet Explorer를 중심으로 설명합니다. 현재 가장 많이 사용하는 구글 크롬에 대해서는 차후에 시간을 내어 설명하겠습니다. Internet Explorer 웹브라우저 사용내역이 index.dat에 저장됩니다. Cookies, History(IE, WE 모두 포함), TIF(Temporary Internet Files) 등이 있습니다. Windows Explorer를 통한 로컬 파일 접근 내역도 index.dat에 저장됩니다. Windows XP에 비하여 Windows 7 이후 버전은 보호모드 등으로 인하여 상당히 복잡해졌습니다. Internet Explorer의 구성요소 i..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 이메일 분석에 대해 살펴 봅시다. 자, 시작할까요? 이메일 지원 가능 이메일 포맷 : Microsoft OutLook, OutLook Express, Lotus Notes, Microsoft Exchange, AOL, MBOX 등이 있습니다. Records 탭에 결과가 보입니다. Spilt Mode를 Tree-Table로 선택하여야 이메일 메시지가 보입니다. Fields 탭을 이용하면 이메일 헤더를 상세히 조사할 수 있습니다. 이메일 쓰레딩 [Show Conversations]와 [Show Related]를 이용하면 관련된 이메일 메시지를 쉽게 찾을 수 있습니다. ‘이메일 파싱 -> 키워드 분석 -> 결과 보기’ 과정 [EP] -> [Find Email] ->..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 EnCase의 분석 기능중 즐겨 사용하는 '컨티션 (Condition)' 기능에 대해 알아 봅시다. 컨디션 ‘Filter’와 유사합니다. 분석관이 생성한 컨디션의 기본 저장 위치는 \Documents\EnCase 입니다. EnCase 제품 설치시 자동으로 포함되는 컨디션과 분리하여 향후 업데이트 되어도 영향이 없도록 하기 위해 저장위치를 다르게 할 것을 권장합니다. Operator 의 일부 소개 Find 여러 개 입력 가능, 포함하는 값을 찾아줍니다. Matches 여러 개 입력 가능, 동일한 값만 찾아줍니다. Contains 1개만 입력, 포함하는 값을 찾아줍니다. Equal to 1개만 입력, 동일한 값만 찾아줍니다. [Prompt for value] 체크..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 포렌식 최고의 분석 아이템 중에 하나이죠. 윈도우 바로가기 파일(Windows Shortcuts), 즉 링크 파일(Link Files)에 대해 알아 보겠습니다. 어떤 유형의 사건이든 링크 파일 분석은 필수입니다. 자, 시작해볼까요? 바로가기 파일 (Windows Shortcuts, Link Files) 사용자의 Desktop, Recent, Start Menu, Send To 폴더에 존재하는 바로가기 형태의 파일입니다. 바로가기 파일은 어플리케이션, 폴더, 파일, 프린터, 외장 드라이브를 가리키는 데이터입니다. Desktop(바탕화면)에 존재하는 링크 파일 사용자가 특정한 파일이나 어플리케이션이 컴퓨터에 존재하고 있음을 알고 있었다는 의미를 갖습니다. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우의 시스템 파일과 폴더에 대해 알아 봅시다. 시스템 파일 및 폴더 pagefile.sys 스왑파일 일명 ‘페이지 파일’ 이라고 합니다. 부트볼륨의 최상위 레벨에 위치합니다. 가상 메모리로 사용됩니다. 비할당 영역에 대한 검색시 함께 포함됩니다. Program Files 폴더 32비트 시스템에서 32비트 어플리케이션은 여기서 설치됩니다. 64비트 시스템에서 64비트 어플리케이션은 여기서 설치됩니다. Program Files (x86) 폴더 64비트 시스템에서 32비트 어플리케이션은 여기서 설치됩니다. ProgramData 폴더 모든 사용자들이 접근할 수 있는 일반 폴더입니다. Windows XP에서는 \All Users 가 같은 역할을 합니다. 휴지통 폴더..