도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 사용자 프로파일 경로와 USB 디바이스에 대한 레지스트리 분석 기법에 대해 알아 보겠습니다. 모두 화이팅하세요! Software Hive 사용자 계정 아티팩츠의 Profile Path는 다음 값을 파싱한 것 입니다. SOFTWARE\Microsoft\WindwsNT\CurrentVersion\ProfileList\ ProfileImagPath 삭제된 사용자 계정에 대한 기록이 남아 있을 수 있습니다. USB Devices 사용자가 처음 호스트 시스템에 USB 디바이스를 연결하면, 다음과 같은 메시지가 작업표시줄의 오른쪽 하단에 표시됩니다. “디바이스 드라이버 소프트웨어를 설치하는 중” “디바이스 드라이버 소프트웨어가 성공적으로 설치되었습니다” 이런 팝업창은 보..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 사용자 계정에 대해서 알아 보겠습니다. 모두 화이팅 하세요!!! User Accounts 사용자 계정에 관한 아티팩츠는 SAM과 Software 하이브 파일에서 파싱된 것 입니다. 시스템 복원 지점, 볼륨 새도우 카피, 백업에 위치하는 레지스트리도 조사하면 사용자 계정에 관한 정보를 얻을 수 있습니다. 분석 가능한 주요 내용은 다음과 같다. - 사용자 계정명 (User account name) - 설명 (Description) - 로그인 일시 (Dates and times associated with logins) - 패스워드 변경 일시 (Dates and times associated with password changes) - 계정의 상태 (Account ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파티션 구조와 운영체제 정보, 타임존 정보에 대하여 살펴 봅니다. 모두 화이팅 하세요!!! Partitioning Scheme 드라이브 시그너처를 확인하고, 그것이 MountedDevices 키에서 시스템 볼륨을 위해 저장된 것과의 일치 여부를 확인한 다음, Master Partition Table (MPT)을 찾습니다. 파티션 테이블도 Drive Identifier 처럼 조사 대상 드라이브의 논리적 구조를 알게 합니다. MPT는 MBR의 오프셋 446에 위치하고, 파티션 테이블 엔트리 하나 당 64 바이트의 크기를 갖습니다. 각각의 엔트리는 최대 16 bytes로 구성됩니다. Active(Bootable) 파티션 엔트리는 헥사값 ‘80’으로 시작하고, Non..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리, 파일시스템 정보 등에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Windows Registry 운영체제 아티팩츠의 핵심은 윈도우 레지스트리입니다.(At the heart of most of the Operating System artifacts in AXIOM are the Windows Registry files.) 레지스트리에 대한 Microsoft의 정의 설정 정보를 저장해 둔 계층적 구조의 데이터베이스 (a hierarchical database that stores configuration information)입니다. 컴퓨터에 대한 각 사용자의 프로파일, 시스템 하드웨어에 대한 정보, 설치된 프로그램, 자원 설정 정보가 저장되..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 AXIOM의 분석 기능 중 운영체제 아티팩츠에 대한 분석기능을 설명합니다. 모두 화이팅하세요 !!! OS Artifacts – Personal Computers (PC) 컴퓨터 또는 모바일 디바이스에서 확보되는 운영체제 아티팩츠는 디바이스와 사용자의 행위에 대한 그림을 재구성하려는 조사자에게는 가장 증거가치가 있는 “퍼즐 조각(Puzzle pieces)”입니다. (Operating system artifacts, from either PCs or mobile devices, can represent some of the most valuable evidentiary “puzzle pieces” available to an investigator, when ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 인터넷 아티팩츠 분석기능 중 Typed Urls와 Form Fill Information and Search Data에 대한 분석기능을 알아보겠습니다. 모두 화이팅하세요!!! Typed Urls Chrome and Firefox Typed URL을 처리할 때에는 약간의 주의가 필요합니다. 과거 이것은 브라우저의 주소표시줄에 직접 입력(타이핑, 복사/붙여넣기)한 경우에 기록되는 아티팩츠였습니다. 지금은 약간 복잡해졌습니다. 만약 사용자가 URL이든 검색단어이든 주소표시줄에 직접 입력했다면, 브라우저는 대개 사용자에게 autosuggestion(자동 완성?)을 제공할 것입니다. 사용자가 이런 autosuggestion 중에 하나를 선택한다면 이런 것도..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 분석기능 중 Internet Cache 아티팩츠에 대한 분석기능에 대해 알아 봅니다. 모두 화이팅 하세요!!! Internet Browser Cache 브라우저 캐시는 로컬 컴퓨터에 있는 임시 저장 위치를 말합니다. 브라우저는 사용자가 방문하였던 웹사이트의 구성 요소를 캐시에 저장합니다. 다음과 같은 형태의 파일이 캐시로 저장됩니다. - HTML - JavaScripts - CSS (cascading style sheets) - 사진 - 멀티미디어 컨텐츠 등 웹사이트를 방문할 때 마다 브라우저는 이전에 해당 사이트를 접근하였던 적이 있는지 Cache에서 살펴 보고, 만약 과거에 접근한 적이 있다면, 마지막으로 방문한 이후 어떤 컨텐츠가 업데이트 되..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM으로 Google Analytics 아티팩츠를 분석하는 기능에 대해 알아 보겠습니다. 모두 화이팅하세요!!! Google Analytics Google Analytics는 웹사이트가 방문자 활동을 좀 더 상세하게 추적하기 위한 수단을 제공하는 Google의 서비스입니다. 이런 활동에 대한 추적은 몇 개의 ‘쿠키(Cookies)’를 이용하여 수행합니다. AXIOM Process는 Google Analytics 정보가 포함된 ‘쿠키’를 찾고, 필요한 항목만을 추출하여 Refined Results 카테고리에 다음과 같이 분류하여 보여 줍니다. - Google Analytics First Visit Cookies - Google Analytics Referr..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 인터넷 아티팩츠 분석기능 중 Cookies 에 대해 알아보겠습니다. 모두 화이팅하세요. Cookies 쿠키는 웹사이트가 로컬 컴퓨터에 저장한 파일입니다. 사용자는 쿠키가 가리키는 웹사이트에 실제로는 방문을 하지 않았을 수도 있습니다. 방문하지 않았지만 링크된 웹사이트가 쿠키를 로컬에 저장하였을 수도 있습니다. 쿠키는 다음의 정보를 기록합니다. - 사용자 정보 - 브라우저 활동 기록 - 계정 정보 등 Chrome 프로파일 폴더 아래 Cookies 라는 이름의 SQLite 데이터베이스로 저장합니다. 다음 위치에 저장해 둡니다. \Users\\AppData\Local\Google\Chrome\User Data\Default\ Artifacts에서 보여주..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 인터넷 아티팩츠 중 Bookmarks와 Favourites에 대한 AXIOM의 분석기능에 대해 알아 보겠습니다. 모두 화이팅하세요 ! Bookmarks 북마크와 즐겨찾기(Favourites)는 원하는 웹사이트에 추후 다시 되돌아 가기 위해 사용하는 것 입니다. 가장 최근에 방문한 사이트를 기억하기 위한 용도로도 활용됩니다. Chrome Bookmarks 라는 이름의 텍스트 파일로 저장합니다. 위치는 다음과 같습니다. \Users\\AppData\Local\Google\Chrome\User Data\Default\ Artifacts에서 보여주는 정보는 다음과 같습니다. - URL 북마크가 가리키는 URL입니다. - Added Date/Time 북마크가 크롬에 추..