본문 바로가기

등등/디지털 포렌식

디지털 포렌식 - 4일차

기본 원리 : File System ( FAT, NTFS, EXT )

기본 원리 : OS 아티텍트 -> OS가 남긴 흔적 ( Windows 11, 10, 7 / Linux / Mac OS

 

디지털 포렌식은 Tool - dependent : 분석 툴에 의존 많이 함 (EnCase, FTK, XRY /모바일분야 : MD series, cellibrite )

 

해킹당한듯? Artitact 분석 ( Encase 이용) -> 분석결과 해석 - > 결론 

삭제된 파일 복구 -> HDD ( 복구 용이 ) / SSD ( 복구가 용이하지는 않고 가능 )

휴대폰 포렌식 ( 완전 tool dependent ) 

 

5. 파일 분석 기법 ( File analysis )

▶ MS Office 파일 분석

  • docx 를 zip으로 바꾸고 압축해제 -> core.xml 확인

  • 생성시각, 수정횟수 등이 나옴 / MS office 관련이라는 것 알 수 있음

 

▶ 사진 파일 데이터 확인

  • 도구 : Autopsy
  • Photos 활용

  • Add 눌러 추가하기

  • Photo1의 Analysis Result
  • 사진정보 분석하면 사진을 찍은사람의 프로파일링 가능 / 데이터 조작이 가능할 수도 있음
  • SNS에서는 이런 데이터 지움 /카톡으로 사진 보내면 accept data 지우고 올림 - 사생활 노출되지 않도록

  • Photo1의 latitude와 longitude를 카카오 맵에 입력 -> 주변정류장 찾기 가능

  • Photo2의 Analysis Result

  • Photo2 의 latitude와 longitude를 카카오 맵에 입력 -> 위치 나옴

  • 똑같은 장소임

 

 

6. 파일의 특징 분석 ( File Signature Analysis )

  • 도구 : Autopsy
  • data source 생성 -> flie06

  • File Type Identification 만 체크

 

File Signatures

ACKNOWLEDGEMENTS The following individuals have given me updates or suggestions for this list over the years: Devon Ackerman, Nazim Aliyev, Marco Barbieri, Vladimir Benko, Arvin Bhatnagar, Jim Blackson, Keith Blackwell, Sam Brothers, David Burton, Alex Cai

www.garykessler.net

  • File1 분석

여기서는 wordprocess로 분석함

  • 확장자 확인 위해 복사본 만들고 File1에 확장자 붙이기

  • File1 내용

  • File2

  • File3

  • File4
  • 프리패치 파일 : 어플리케이션이 시작할 때 : 하드디스크 안에 실행파일 위치 찾아가서 시작부터 끝까지 데이터를 읽어서 메모리로 보냄 -> 실행파일과 관련된 라이브러리 dll 을 읽어 보냄
    / 속도를 빠르게 하기 위해 파일들을 프리패치 파일(pf)로 만들어 빠르게 읽어오게함
    / 프로그램 처음 실행시킬떄 시간이 걸리는데 다시 실행시키면 빨라짐

  • File5 : 링크파일

 

  • File6

  • File7

  • File8

  • File9

  • File10

  • 결과
  • 파일 확장자를 변경하는 경우 윈도우는 파일 확장자를 보고 판단함 -> 파일확장자와 시그니처가 맞는지 분석해야함

'등등 > 디지털 포렌식' 카테고리의 다른 글