EnCase 107

[EnCase] NTFS 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 NTFS 분석 두번째 시간입니다. 화이팅하세요. Resident Data (상주형 데이터) 데이터가 $MFT의 엔트리 내에 존재하는 유형입니다. 예) 인터넷 쿠키 파일, 작은 GIF 이미지, 작은 텍스트 파일 등 상주형 데이터의 특성 논리적 크기와 물리적 크기가 동일합니다. 파일 슬랙이 없습니다. 파일이 일반적으로 섹터나 클러스터의 첫번째 바이트에서 시작되지 않습니다. File Identifier 값 * 1024(MFT 엔트리 크기) = 해당 파일에 대한 MFT 엔트리의 실제 시작 바이트 오프셋 값 Non-resident Data (비상주형 데이터) 어떤 개체의 데이터가 너무 커서 $MFT 엔트리 안에 모두 저장할 수 없는 경우, 해당 데이터는 MFT 엔트리가..

EnCase 2022.03.22

[EnCase] NTFS 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 NTFS 첫 시간입니다. NTFS는 New Technology File System의 줄인 말입니다. 윈도우 시스템의 기본 파일시스템이라고 할 수 있겠습니다. 시작해볼까요? NTFS 개요 Windows XP는 FAT32, NTFS에서 모두 설치 가능하나, Windows Vista 이후로는 NTFS에서만 설치 가능합니다. USB 이동식 드라이브에도 NTFS 포맷을 설정할 수 있습니다. NTFS 볼륨의 모든 개체에 대한 정보는 $MFT(Master File Table)에 저장됩니다. MFT 엔트리의 순번은 File Identifier 컬럼에서 확인 가능합니다. 주요 메타데이터 파일 $MFT FAT 시스템의 Directory Entry 역할을 합니다. 개체의 이름,..

EnCase 2022.03.20

[EnCase] 타임존 (Time Zone) 분석

안녕하세요. 도깬리 포렌식스 입니다. 디지털 포렌식 분석을 시작하기 전에 살펴봐야할 설정 사항 중에 하나가 '타임존'입니다. 우리나라의 경우엔 단일 시간대를 갖고 있으므로 별 문제가 되지 않겠지만, 미국과 같이 한 나라에 여러 개의 시간대를 갖는 경우엔 반드시 '타임존'을 확인할 필요가 있겠지요. 이제 '타임존'에 대해 알아 볼까요? 타임존 (Time Zone) 개요 윈도우가 설치된 NTFS 저장매체에서는 날짜와 시간 정보가 UTC (Universal Time Coordinated) 형식으로 저장됩니다. 다만, FAT 시스템에서는 Local Time 으로 저장됩니다. 윈도우나 EnCase가 날짜와 시간 정보를 읽게 되면, 현재 컴퓨터에 설정된 또는 EnCase가 설정한 ‘타임존’을 기반으로 정보를 보여주..

EnCase 2022.03.17

[EnCase] 윈도우 레지스트리 (Windows Registry) (2)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 두번째 시간입니다. 모두 화이팅하세요. HKEY_USER Hives (HKU 하이브) 사용자 프로필은 아래의 위치에 저장됩니다. Windows 7, Vista 이후 : \Users\ Windows XP : \Documents and Settings\ 구분 내용 HKU\[S-1-21…RID] Associated NTUSER.DAT HKU\[S-1-18 Local System (DEFAULT) HKU\[S-1-19 LocalService NTUSER.DAT HKU\[S-1-20 NetworkService NTUSER.DAT HKEY_CURRENT_USER 현재 로그인하고 있는 사용자의 프로필과 연동되는 일종의 바로가기 링크입니다. 사용자 설정 정..

EnCase 2022.03.15

[EnCase] 윈도우 레지스트리 (Windows Registry) (1)

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 윈도우 포렌식에서 가장 중요한 아티팩츠(Artifacts)이죠. 바로 윈도우 레지스트리(Windows Registry)에 대해서 얘기하려고 합니다. 윈도우 레지스트리만으로도 약 1주일간의 강좌를 구성할 수 있을 만큼 내용이 상당히 많습니다. 그럼에도 우리가 윈도우 포렌식에서 활용하는 레지스트리 정보는 전체 레지스트리 데이티의 5%도 안될 만큼 레지스트리는 '디지털 증거의 금광(Gold Mine)'입니다. 오늘은 그 첫시간 ! 이제 시작하겠습니다. 들어가는 말 포렌식 분석관은 자동화된 기능에 너무 의존하여서는 아니됩니다. 자동화된 기능이 없이는 원하는 데이터를 찾을 수 없는 상황을 초래할 수도 있기 때문입니다. 데이터가 원래 어디에 존재하였던 것인지(탐색방법..

EnCase 2022.03.13

[EnCase] 복합파일 (Compound Files) 분석 기법

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 복합파일 (Compound Files)과 그 조사 기법에 대하여 설명합니다. 복합파일을 분석하기 위해서는 전처리 과정이 필요합니다. 압축 파일이 대표적이죠. 압축은 풀어야 파일을 열람할 수 있겠죠. 압축을 푸는 과정이 바로 전처리 과정입니다. 이제 시작해볼까요? 복합파일이란 복합파일(Compound Files)은 파일 안에 또 다른 내부 파일 구조를 갖는 것을 말합니다. 예) 레지스트리, MS Office 파일, 이메일 파일, 압축 파일 복합파일과 논리이미지 복합파일은 Evidence Processor를 이용하여 자동으로 마운트 하고, 그 결과물은 논리이미지(.L01)로 만들 수 있습니다. .L01 포맷으로 만들지 않고, 단순히 마운트만 하면 RAM 공간의 부..

EnCase 2022.03.11

[EnCase] 파티션 복구 (Partition Recovery) (5)

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 파티션 복구를 이어갑니다. 오늘 다룰 내용은 EnScript를 이용한 파티션 복구입니다. 자, 시작할까요? EnScript (Partition Finder)를 이용하여 파티션을 가상으로 복구하기 (1) [EnScript] -> [Case Processor] -> [Partition Finder] 실행하면 Bookmarks에 그 결과가 표시됩니다. (2) 그림 속의 테이블 뷰에서 2번 엔트리를 보면 비할당 영역에서 FAT 볼륨이 발견되었음을 알 수 있습니다. (3) 발견된 FAT 볼륨의 전체 섹터 수는 59,432이고, 시작섹터의 위치는 7,775,523번 섹터입니다. (4) 2번 엔트리에서 마우스 우클릭한 후 Go to file을 선택합니다. (5) Unuse..

EnCase 2022.03.08

[EnCase] 파티션 복구(Partition Recovery) (4)

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 파티션 복구에 대하여 예를 들어 설명을 이어갑니다. 삭제된 파티션에 대한 수동 복구의 예 (1) MBR의 0번 섹터에는 파티션 테이블이 위치하고 2개의 파티션 엔트리(M#1, M#2)가 보입니다. (2) M#1이 가리키는 첫번 째 파티션의 위치는 63번 섹터입니다. (3) 63번 섹터에 C 드라이브의 첫번 째 시작섹터인 VBR이 보입니다. (4) M#2는 확장된 파티션 테이블이 7,164,990번 섹터에 위치하고 있음을 보여줍니다. (5) 7,164,990번 섹터에는 2개의 파티션 엔트리(E#1, E#2)가 보입니다. (6) E#1이 가리키는 첫번 째 파티션의 위치는 63번 섹터(논리적 섹터 주소)입니다, 물리적인 섹터 주소는 7,165,053번 섹터입니다. ..

EnCase 2022.03.06

[EnCase] 파티션 복구 (Partition Recovery) (3)

안녕하세요. 도깬리 포렌식스입니다. 오늘도 파티션 복구에 대해서 이어가겠습니다. 파티션을 나누는 방법 Primary Partition (Master Partition Table) MBR 내에 파티션 테이블이 존재합니다. 최대 4개까지 존재합니다. MBR 내의 마지막 엔트리는 확장된 파티션 테이블이 포함된 물리적 섹터로 연결될 수 있습니다. Extended Partition Table 하나의 파티션 내에 여러 개의 논리적 볼륨을 생성할 수 있습니다. 드라이브 지정 영문자의 개수 만큼 논리적 볼륨이 생성될 수 있습니다. 확장된 파티션 테이블은 그것을 포함하는 볼륨의 VBR과 연동됩니다. 물리적 디스크에 대한 보고서를 보고 전체 디스크 구조 파악하기 Description 컬럼에서 파티션의 시작 위치와 마지막 ..

EnCase 2022.03.03

[EnCase] 파티션 복구 (Partition Recovery) (2)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파티션 복구 두번째 시간이네요. 파티션의 시작 위치는 VBR 입니다. VBR에 대해 알아 봅시다. VBR (Volume Boot Record) 논리적 볼륨의 첫 번째 섹터를 볼륨부트레코드(VBR)라고 합니다. Windows Vista, Windows 7 이후 버전은 기본적으로 첫 번째 논리적 볼륨이 물리적 섹터 2048번 섹터에서 시작합니다. 그러나, 실제로는 Windows XP의 경우와 마찬가지로 63번 섹터에서 첫 번째 볼륨이 시작하는 경우도 있습니다. 파티션 크기 NTFS VBR 안에는 해당 볼륨의 파티션 크기에 대한 정보가 있습니다. 파티션 크기는 섹터 오프셋 40 에서 8바이트의 값을 갖습니다. 파티션 크기는 MBR에서도 확인 가능하나, VBR에서도 ..

EnCase 2022.03.01