도깬리포렌식스

도깬리 포렌식스 입니다. 이태원 사고 소식에 온나라가 슬픔에 잠겼습니다. 다시는 이와 같은 안타까운 죽음이 없어야 겠습니다. 오늘은 FTK 시리즈 마지막편으로 Superfetch에 대해 설명을 하겠습니다. 모두 힘내세요!!! What is Superfetch 윈도우 비스타 이후 Prefetch는 Superfetch로 진화됩니다. Superfetch를 이용하여 프로그램의 사용흔적을 추적할 수 있습니다. - 마지막으로 구동한 일시 - 구동 횟수 저장위치는 C:\Windows\Prefetch 입니다. 저장포맷은 .PF 입니다. Prefetch는 Cache manager를 이용하여 Boot process와 Application Launches를 모니터링합니다. SuperFetch in the Windows 7 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Thumbs.db와 Thumbcache에 대해 알아 봅시다. 날씨가 점점 추워지고 있어요. 코로나 조심하세요. !!! Thumbs,db Files in XP/2000 사용자가 윈도우 탐색기에서 문서를 thumbnails 형태로 본 경우, 해당 디렉토리 안에 Thumb.db 라는 일종의 DB가 생성됩니다. 이 DB에는 JPG 포맷의 손톱크기(thumbnail-size)만한 작은 그래픽 파일이 원본의 확장자와 함께 저장됩니다. 사용자가 원본 파일을 삭제하여도, thumb.db 파일 안의 정보는 그대로 존재합니다. Thumbs.db 파일은 기본적으로 시스템 파일이어서 일반 사용자에게는 보이지 않습니다. Thumbcache Windows 7에서는 Thumbnails를..

안녕하세요. 도깬리 포렌식스 입니다. 여러분은 '고아 파일(Orphan Files)'을 아시나요? 부모 없는 자식은 존재할 수 없습니다. 아무리 고아라도 부모의 존재를 부정할 수 없죠. 디지털 세계에도 '고아'가 있습니다. 발견된 고아 파일에서 부모를 찾아가 복원에 이르는 메커니즘을 살펴 봅니다. Tracking Orphans in the $MFT $MTF는 NTFS의 핵심입니다. 모든 엔트리의 크기는 1024 바이트 입니다 일련의 ‘속성(Attributes)’으로 기록되어 있습니다. 모든 엔트리는 아래의 것을 포함합니다. Header ‘FILE’ 일반적으로 56바이트이다. 0x10000000 Standard Information Attribute (SIA) MAC date and time 정보를 포함합..

안녕하세요. 도깬리 포렌식스 입니다. 가을이 완연합니다. 오늘도 윈도우 휴지통에 대한 설명을 이어 갑니다. 모두 화이팅하세요!!! Windows 7 Recycle Bin INFO2 파일을 사용하지 않고, 대신 paired files를 이용합니다. Paired files (쌍을 이룬다) $R (Recycled의 첫 글자?) Recycled File 입니다. 실제로 삭제된 파일 (Actual deleted file)입니다. $R 다음에 임의의 파일명($I와 같음)이 옵니다. 삭제된 파일의 확장자명을 갖습니다. $I (INFO2의 첫 글자?) 과거의 INFO2 파일의 역할을 합니다. Administrative File 입니다. $I 다음에 임의의 파일명이 옵니다. 삭제된 파일의 확장자명을 갖습니다. 크기는 5..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터 윈도우 휴지통의 메커니즘과 아티팩츠에 대해 알아 보겠습니다. 모두 화이팅하세요!!! Windows XP Recycle Bin Review Windows 7 이전 버전에서는 휴지통은 시스템 드라이브의 Root 아래 Recycle Bin 또는 Recycler 라는 폴더 형태로 존재합니다. INFO2 파일 안에 삭제된 위치, 파일명, 파일크기, 삭제 시각 등에 관한 정보가 저장됩니다. 실제로 삭제된 파일도 SID 폴더 아래에 저장되고, 해당 파일의 $MFT 레코드는 해당 파일의 이름이 다음의 규칙에 따라 바뀝니다. - D : deleted - C : 삭제된 파일이 존재했었던 드라이브 문자 - # : 삭제된 순번 (‘1’이 가장 처음에 삭제된 것임) - . : 원래..

안녕하세요. 도깬리 입니다. "윈도우 디지털 포렌식 완벽 활용서" 출간과 카카오 서버 화재로 인하여 부득이 중단하였던 포스팅을 계속 이어 가고자 합니다. 아울러 저의 첫번 째 도서 출간에 많은 관심과 성원을 보내 주신데에 대해 다시 한번 감사의 말씀을 드립니다. 오늘은 윈도우7의 라이브러리와 홈그룹에 대하여 알아 보겠습니다. Libraries 주요 조사의 대상이 되는 아티팩츠 가운데 하나입니다. 파일을 찾거나 저장을 위한 기본 위치입니다. - Documents - Music - Pictures - Videos Adding Libraries 새로운 라이브리 위치를 Libraries에 추가할 수 있습니다. 사용자 프로파일 내에 XML 형태의 파일이 만들어 지고, 여기에 연동하고 싶은 ‘폴더’를 포함 시키면 ..

안녕하세요. 도깬리 포렌식스 입니다. 윈도우 이벤트 로그 2번째 시간입니다. 모두 화이팅 하세요!!! USB의 device identifier는 다음의 아티팩츠에서 발견됩니다. - SYSTEM.EVTX 이벤트 - USBSTOR 레지스트리 키 - MountedDevices 레지스트리 키 - EMDMgmt 레지스트리 키 - Windows Portable Devices (WPD) 레지스트리 키 - Setupapi.dev.log 파일 Event Correlation – USB Installation Events USB 관련 이벤트는 SYSTEM.EVTX에 기록됩니다. Event ID 20001 - USB Driver Install concluded Event ID 20003 - USB Finished servi..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 7의 이벤트 로그에 대해 살펴 보겠습니다. 가을이 언제 왔나 싶었는데, 벌써 초겨울 느낌입니다. 모두 감기 조심하세요. Module Objectives 윈도우 이벤트 로그에서의 주요 분석 대상은 다음과 같습니다. - System shutdown - USB installation - System clock changes - Wireless connections - ReadyBoost attachments - System Restore Point creation Logging Functions Date 또는 Event ID를 기준으로 정렬하여 분석을 수행합니다. ‘저장된 로그(Saved logs)’를 들여와서(Import) 보는 방법으로 분석을 합니다. 로..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 저장장치에 대한 윈도우 레지스트리 아티팩츠 마지막 시간 입니다. 모두 화이팅하세요. External HDD 외장하드 드라이브(External USB hard disk drives)는 일반적인 USB thumb drive와는 다른 방식으로 식별됩니다. 외장하드는 일반적으로 MountedDevices에서 4바이트의 identifier에 의해 식별 됩니다. 이 식별자는 해당 드라이브의 MBR의 오프셋 440~443에 fixed HDD와 동일한 방식으로 저장되어 있습니다. Drive identifier의 저장 위치 외장하드의 경우 MBR의 Offset 440 ~ 443에 위치 USB 메모리의 경우 USB 메모리의 Firmware 안에 위치 Volume Name..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 ContainerID와 USB 장치 연결에 관한 여러가지 아티팩츠에 대한 설명을 이어 갑니다. 화이팅 하세요. Operating System Display ContainerID는 운영체제에서도 확인할 수 있습니다. USB Date/Time Last Inserted 디바이스 연결정보는 DeviceClasses 서브 키의 Last Written Time 으로 확인 가능합니다. 포렌식적으로 관심을 가질 만한 데이터는 다음 2가지 입니다. 53f56307-b6bf-11d0-94f2-00a0c91efb8b Disk Class Identifier 입니다 아래와 같이 3 부분으로 나뉘어 집니다. - Disk and Ven # - Drive Identifier - Devic..