도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Windows 7 이래 포렌식에서 이슈가 되었던 BitLocker에 대해 알아보겠습니다. 모두 화이팅 하세요 !!! BitLocker Overview BitLocker 도입 목적은 분실, 도난 당한 노트북의 데이터를 보호하기 위함입니다. 하드드라이브가 특정 컴퓨터에서 인증된 사용자에 의해서만 접근 가능하도록 구현되었습니다. 이미징 전에 압수된 컴퓨터에서 하드드라이브를 분리하는 전통적 포렌식 절차에 수정이 필요하게 되었습니다. 포렌식 관점에서 다행스러운 점은 BitLocker가 디폴트가 아니며, Windows 7 출시 당시, Enterprise 버전 또는 Ultimate 버전에서만 작동하였다는 점입니다. 즉, 범죄현장에서 자주 만나게 되는 Home, Profes..

안녕하세요. 도깬리 포렌식스 입니다. 약 7개월간의 EnCase를 이용한 윈도우 포렌식 연재를 마치고, 금일 부터는 FTK를 이용한 윈도우 포렌식을 시작합니다. 윈도우 7 기반으로 연재를 진행합니다. 윈도우 10 이후의 아티팩트는 차후 별도로 연재를 할 예정입니다. FTK의 사용법 보다는 주로 AD Registry Viewer를 이용한 윈도우 아티팩트 분석 중심으로 시리즈를 진행하겠습니다. 참고문서는 AD Windows Forensics (Win7) 입니다. 시작하겠습니다. Windows 7 Desktop 새로이 등장한 기능 Jump Lists Aero Key Version Features Windows 7 Starter 최대 동시에 3개의 사용자 프로그램만 구동 가능합니다. Windows 7 Home ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적 분석 마지막 시간입니다. 모두 화이팅하세요.!!! HKLM\System\MountedDevices 시스템 레벨에서 볼륨 마운트 포인트의 위치를 저장한 것 입니다. 볼륨을 접근할 때 사용한 볼륨 식별자와 볼륨 마운트 포인트에 대한 정보를 제공합니다. 드라이브 문자 엔트리는 다른 볼륨에 의해 재사용되어지는 경우가 매우 많음에 주의해야 합니다. MountedDevices 에는 볼륨 식별자(GUID)가 기록되긴 하지만, ‘키’가 아니라 ‘값’으로 존재하기 때문에 마지막 수정날짜가 표시 되지 않습니다. 다행히 MountPoints2 키에서 위 볼륨 식별자가 ‘키’ 형식으로 존재하므로 마지막 수정날짜를 확인 가능합니다. MountPoints2 위..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적 두번째 시간입니다. 모두 화이팅하세요!! 윈도우 레지스트리 데이터를 이용한 분석 HKLM 시스템 레지스트리 데이터 MountedDevices Registry 키의 ControlSet 폴더에 포함된 중요 정보들은 다음과 같습니다. - Enum\STORAGE - Enum\USB - Enum\USBSTOR - Enum\WpdBusEnumRoot - Control\DeviceClasses Control\DeviceClasses 데이터 각각의 GUID는 장치의 종류를 의미합니다. 53F56307-B6BF-11D0-94F2-00A0C91EFB8B --> Disk A5DCBF10-6530-11D2-901F-00C04FB951ED --> 허브에 연결..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적에 대한 분석기법을 알아 보겠습니다. 데이터 절취 또는 기술 유출 등의 사건에서 주요 분석 항목에 포함되는 아티팩트(Artifacts)라고 할 수 있습니다. 오랜만에 비가 멎고 아침 햇살을 보게 되었네요. 오늘도 화이팅 하세요. 이동형 USB 메모리 장치와 관련된 범죄 유형 - 데이터 절도 - 불법 어플리케이션 - 불법 데이터 저장 - 암호화된 데이터 저장 - 바이러스 배포 - 신원정보 절도 - 어플리케이션 임의 실행 USB 장치의 구조 USB 장치는 USB-IF (USB Implementers’ Forum)라는 비영리 기관의 규격에 따라 제작됩니다. www.usb.org USB 장치의 Device Descriptor의 구조 Offset..

안녕하세요. 도깬리 포렌식스 입니다. 어제는 수도권에 물폭탄이 떨어져 고생이 많으셨죠. 이제 비가 그만 왔으면 좋겠네요. 오늘도 윈도우 검색 흔적에 대한 분석을 이어 갑니다. 화이팅 하세요. 윈도우 검색 데이터베이스 파일 조사하기 (Windows.EDB) 윈도우 검색 관련 가장 유용한 정보입니다. 저장 위치는 레지스트리에 기록되어 있습니다. HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows 일반적으로 다음의 위치에 저장됩니다. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb 확장가능 저장 엔진 (Extensible Storage Engine (ESE)) JetBlue 라고 불리..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우에서 검색한 흔적에 대한 분석 방법을 알아보겠습니다. 모두 화이팅하세요! 윈도우 검색 윈도우 검색은 Windows Vista, Windows 7 이후 버전에서 기본적으로 동작하는 인덱스 기반 검색 기능을 말합니다. 구버전에서는 Windows Desktop Search 라고 불리워 지기도 합니다. 검색을 하게 되면, 파일명 또는 파일내용에서 검색단어를 찾습니다. 파일내용 검색은 MS Office, Outlook, TXT, XML, ZIP 등 일부 포맷의 경우에만 가능합니다. 또한 파일내용 까지 검색하게 하려면 다음 설정 창에서 추가하거나 변경하면 됩니다. 윈도우 검색 서비스 (Windows Search Service, WSS) WSS는 항목의 메타데이터와 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 Zip 파일 복구에 대하여 알아 보겠습니다. 모두 화이팅 하세요. MS 워드 문서와 관련된 어플리케이션 MS Office 2007 이후로 오피스 문서는 데이터를 압축된 XML 스트림 형식으로 저장하는 방식으로 바뀌었습니다. 워드 문서를 ZIP 파일로 이름을 바꾸고, WinRAR에서 열어 보면 압축된 XML의 구조를 확인할 수 있습니다. .docx 파일의 주요 body 부분은 word/document.xml 스트림에 저장됩니다. 임베디드된 이미지들은 word/media 스트림에 저장됩니다. 위 둘은 word/_rels/document.xml.rels 스트림을 사용하여 상호 참조하게 됩니다. 압축된 ZIP 파일을 대상으로 하는 키워드 검색은 효과가 없습니다. 그러..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Zip 파일 복구에 대하여 알아 보겠습니다. 며칠째 계속 비가 내리네요. 기운 잃지 마세요. Zip 포맷 개요 ZIP 포맷의 개발자: Phil Katz OS 안에 ZIP 파일을 만들고 풀 수 있는 기능이 내장되어 있습니다. - Windows Explorer - Mac OS X Finder 파일의 형식 ZIP 포맷에 대한 정보는 KPWARE 사이트에서 APPNOTE.txt 다운받아 확인 가능합니다. ZIP 파일에 포함된 모든 개별 파일은 각각의 로컬 파일 헤더와 중앙의 디렉토리 헤더를 모두 갖습니다. 각각의 파일에 대한 압축된 데이터는 각 파일의 로컬 파일 헤더의 바로 다음에 위치합니다. ‘중앙의 디렉토리 헤더’가 있기 때문에 ZIP 파일에 포함되었던 개별 데이..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 볼륨 새도우 카피 데이터 분석 2번째 시간입니다. 열대야 때문에 힘든 밤을 보냈네요. 모두 힘내세요. 제외된 파일들 볼륨 스냅샷 과정에서 특정 파일들을 제외할 수 있습니다. 제외 대상 파일은 다음 레지스트리 키에 저장됩니다. HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot 위 키에 저장된 파일은 백업을 생성할 때 제외되는 것이 아니라, 복구 시점에서 제외됩니다. VSC 데이터 Volume Shadow Copy Service (VSC) 데이터는 System Volume Information 폴더에 저장됩니다. 차등 데이터(differential data)는 파일이름을 GUID로 표시되..