EnCase 107

[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (3)

안녕하세요. 도깬리 포렌식스 입니다. 가랑비가 내리는 흐린 아침입니다. 오늘도 윈도우 사용자 아티팩츠에 관한 설명을 이어 갑니다. 화이팅 하세요. \AppData\Roaming\Microsoft\Windows\SendTo 어떤 개체에서 우클릭한 후 Send To를 선택하면 바로가기 옵션이 나타납니다. USB 연결 엔트리는 해당 컴퓨터에서만 볼 수 있고, 이 폴더에는 그 연결 흔적이 저장되지 않습니다. \AppData\Roaming\Microsoft\Windows\Start Menu 특정 사용자를 위한 시작 메뉴에 나타날 항목들의 일부 목록이 저장됩니다. 모든 사용자를 위한 시작 메뉴는 ProgramData 폴더 안에 저장됩니다. 즉, 시작메뉴에 등록된 프로그램의 목록을 볼려면 위 2개의 폴더를 모두 조사..

EnCase 2022.04.14

[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 윈도우 사용자 데이터에 대해서 알아 봅시다. 모두 화이팅하세요. Contact 폴더 연락처 폴더입니다. XML 포맷이므로, Generic XML Browser EnScript 프로그램을 사용해서 해석하거나, 윈도우 환경으로 추출하여 해석합니다. Cookies 폴더 위치 : \AppData\Roaming\Microsoft\Windows\Cookies 사용자가 다음에 또 어떤 웹사이트를 방문하는 경우, 동일한 사용자임을 알려주는 역할을 합니다. 사용자 선호도 파악 등의 용도로 사용되기도 합니다. Desktop 폴더 바탕화면에 있는 항목을 저장하는 폴더입니다. 여기에 저장된 것들은 사용자가 의도적으로 추가하였거나, 설치과정에서 어플리케이션이 자동으로 생성한 것입니다..

EnCase 2022.04.10

[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 윈도우 시스템의 주요 아티팩츠(Artifacts)를 살펴 보도록 하겠습니다. 아티팩츠는 '흔적'이라고 표현하는 것이 가장 적절합니다. 범인의 활동 흔적을 '포렌식 아티팩츠 (Forensic Artifacts)'라고 말할 수 있습니다. 시작해볼까요? 윈도우 시스템에서의 사용자 파일 및 폴더 사용자 프로필 폴더의 생성 위치 Windows XP \Documents and Settings\ Windows 7 이후 \Users\ ProgramData 폴더 숨겨진 폴더입니다. 프로그램 설치시, ‘모든’ 사용자가 사용할 수 있도록 설치하게 되면, 여기에 프로그램이 저장됩니다. Public 폴더 디폴트 사용자 프로필이 존재합니다. 시스템상의 모든 사용자들이 접근 가능한 ..

EnCase 2022.04.08

[EnCase] GREP 표현식과 검색 기술

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 GREP (Global Regular Expression Print) 정규표현식에 대해 알아 봅시다. 검색 기술중에서 Grep 검색은 이메일 주소, 전화번호 등과 같이 정형화된 데이터를 검색할 때 유용한 기술입니다. GREP 표현식 기호 의미 예 . 하나의 문자로 어떤 문자가 와도 상관없음 [abc] [ ]안의 어떤 문자가 와도 상관없음 [ck]orea : corea, korea 둘다 포함됨 [^abc] [ ]안의 어떤 문자가 와도 안됨 [^ck]orea : corea, korea 둘다 포함되지않음 [a-z] a~z 사이의 어떤 문자가 와도 상관없음 \x01 16진수 표기법임 문자로 나타낼 수 없는 백스페이스(\x08), 탭(\x09)와 같은 값을 표기할 때 ..

EnCase 2022.04.06

[EnCase] PDE (Physical Disk Emulator) 드라이브 마운트 기술

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 증거이미지를 분석시스템에서 로컬 드라이브로 잡아 마운트 시켜 주는 방법에 대해서 알아 봅시다. Physical Disk Emulator 라는 기능입니다. 이것은 가상환경을 구현하여 분석할 때 사용하는 기술입니다. 자. 시작할까요? PDE 개요 Physical Disk Emulator 라고 합니다. 증거이미지를 윈도우 탐색기에서 조사할 수 있도록 로컬 드라이브로 마운트 시켜 주는 기술입니다. 악성프로그램에 대하여 안티바이러스 프로그램으로 진단할 목적으로, 컴퓨터 증거를 마운트할 경우, PDE가 가장 많이 사용됩니다. 로컬시스템에 마운트가 가능한 증거 이미지 포맷 EnCase 증거이미지 dd 이미지 SafeBack v2 이미지 VMware 이미지 미리보기로 접근한..

EnCase 2022.04.04

[EnCase] 논리적 증거 이미지 (Logical Evidence Images)

안녕하세요. 도깬리 포렌식스입니다. 화창한 주말 아침입니다. 오랜만에 밝은 햇살을 보니 기분이 상쾌해집니다. 오늘은 논리적 증거 이미지 (Logical Evidence Images)만드는 방법과 관련된 개념들을 알아 봅시다. 싱글 파일 로그 파일, 레지스트리 파일, 이메일 아카이브, 디지털 사진 등 개별파일을 EnCase에 추가할 수 있습니다. EnCase V6 : [Activate Single File] EnCase V7 이후 : drag & drop 논리적 증거이미지 싱글 파일을 논리적 증거이미지에 추가하여 파일의 시간정보를 유지하면서, 데이터의 무결성을 주장할 수 있습니다. 물리적 디스크 또는 볼륨의 일부만을 선택적으로 이미징할 수 있습니다. [Acquire] -> [Create Logical Ev..

EnCase 2022.04.02

[EnCase] 가상 파일시스템 (Virtual File System) 분석 기법

안녕하세요. 도깬리 포렌식스입니다. 오늘은 가상 파일시스템 (Virtual File System) 분석기법에 대해 알아 봅시다. VFS의 정의 증거이미지를 로컬 시스템에 마운트 시켜 조사할 수 있는 기술을 의미합니다. 증거이미지에 포함된 모든 개체(비할당 영역, 미사용 영역, 삭제된 폴더 및 파일, 시스템 파일 등)를 마운트 할 수 있습니다. EnCase가 지원하는 모든 파일시스템 포맷을 윈도우 탐색기에 VFS로 마운트 할 수 있습니다. 어떤 상황에서 필요한 가? EnCase 이외의 다른 제3의 조사도구(예: 안티바이러스 스캐너, 복구 전용도구)를 이용하여 분석해야 하는 경우 비전문가가 윈도우 탐색기를 통해 직접 열람하도록 해야 하는 경우 분석대상 프로그램(예: 악성프로그램)을 직접 실행하여 그 동작 형..

EnCase 2022.03.30

[EnCase] 인덱스 검색 (Index Searches)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 인덱스 검색기법에 대하여 설명합니다. 검색기법중 성능과 속도면에서 뛰어나지만 인덱스 만드는데 시간이 걸리는게 단점이죠. 시작해볼까요. 3가지 검색 방법 Index Searches EP가 만들어 준 Index를 대상으로 검색합니다. Tag Searches 사용자가 표시해 둔 Tag를 대상으로 검색합니다. 키워드를 미리 준비해 두어야 합니다. Raw Searches 가공되지 않은 데이터를 대상으로 검색합니다. 키워드를 미리 준비해 두어야 합니다. Indexing과 Raw Searches의 비교 Indexing Raw data에서 Transcript text를 추출하여 이를 단어 별로 조각낸 후, 이를 Index DB에 저장하고, 분석관은 저장된 DB를 대상으로 검..

EnCase 2022.03.28

[EnCase] 폴더 복구 (Recovery Folders)

안녕하세요. 도깬리 포렌식스 입니다. 즐거운 주말인데, 밖에 비가 오네요. 오늘은 '폴더 복구(Recovery Folders)'에 대해 알아 봅시다. '폴더 복구'는 증거 분석시 기본적으로 처리하는 루틴의 일부입니다. 자, 시작해볼까요? 폴더복구 EP(Evidence Processor)에서 [Recovery Folders]를 실행하면, 볼륨의 최상위 레벨에 ‘Recovery Folders’ 라는 가상의 폴더가 생성되면서 비할당 영역에서 복구된 폴더와 하위 폴더, 파일이 추가됩니다. 폴더 계층구조는 항상 정확한 것은 아니며, 절대적을 신뢰할 수 있는 자료로 간주되어서는 아니됩니다. Lost Files 폴더와 구별 할 필요가 있습니다. Lost Files 가상 폴더 증거이미지를 추가하면 자동으로 생성됩니다...

EnCase 2022.03.26

[EnCase] 증거 처리기(Evidence Processor)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 EnCase의 증거 처리기(Evidence Processor)에 대하여 알아 보겠습니다. 디지털 증거 분석을 위한 다양한 분석 모듈이 Evidence Processor에 포함되어 있습니다. 한번 살펴 볼까요? Evidence Processor Evidence Processor 에서는 기본적으로 증거 볼륨을 단위로 프로세싱합니다. 체크한 파일만을 대상으로 Evidence Processor를 수행하는 방법 (1) Evidence에서 대상 파일을 체크합니다. (2) Tree view의 최고 상단에서 오른 마우스 -> Entries -> Create results (3) Results 탭에서 확인 (4) 다시 Evidence 탭으로 가서 EP 실행 (5) What t..

EnCase 2022.03.24