등등/디지털 포렌식
디지털 포렌식 - 3일차 (2/2)
공쓰기
2022. 5. 23. 21:42
디지털 포렌식 기법
1. 복제본 만들기 (Creating forensic images)
▶ 소프트웨어 쓰기방지 장치
- 도구 : Regedit
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 로 이동 -> 새키를 생성 후에 이름을 StorageDevicePolicies로 변경
- 새로운 DWORD (32-bit) Value 생성 후 -> WriteProtect 의 값을 0에서 1로 바꾸기
▶ 포렌식 이미지 만들기 - 1
- 도구 : FTK Lmager
- FTK Imager를 실행시킨 후 File에서 create disk image 선택
- Select Source에서 Physical Drive 선택-> USB포함된 drive선택 -> Finish 선택
- Create Image에서 Add -> E01선택 -> 이름 원하는 걸로 넣기
- Imaging의 대표적인 파일 유형 : E01->Encase EWF format
- Folder 선택시 C드라이브로 선택해야함 ( The image Destination cannot be on the disk being imaged 에러뜸 ->이미징하는 디스크와 이미징 파일을 다른 디스크에 저장하기 때문 )
- 결과
▶ 포렌식 이미지 만들기 - 2
- 도구 : NetCat / dd
- 보기 > 옵션 눌러 아래 그림처럼 적용 / nc를 악성코드로 인식하는 경우가 있음
2. Hashing
- 해시로 원본과 사본의 동일성 입증함
- 해시는 한 바이트만 뚫려도 많은 정보는 나타냄
- Hash : 1개 값
- Hash-set : 관련있는 Hash 묶은 것 ex) 아동 성착취물에서 많이 TTMD 해시
- Hash 라이브러리 : 관련있는 Hashset 묶은 것
- 사건 폴더는 시스템 드라이브와 분리된 드라이브에 만들어야 함 -> 시스템 드라이브는 언제나 망가질 가능성이 있어서
- 똑같은 문자라도 스페이스와 엔터유무에 따라 해시값 다름
▶ 폴더안의 파일을 해쉬값으로 비교하기
- 도구 : HashMyFiles
- File_Hashing_2를 압축해제 한 후 HashMyFiles로 해쉬값 비교하여 동일한 파일 찾기 아래 사진에서 똑같은 색깔끼리 해쉬값 -> 즉 하나는 가짜다
▶ File2와 File7중 진짜는?
- FTK Imager 들어가서 contents of Folder 선택 후 파일 선택
- File2 는 파싱안되는데 File 7은 됨 -> 2가 가짜
▶ Hashset을 이용, 하드디스크에서 파일 찾기
- 도구 : Autopsy
- 1번 후 폴더를 열어보면 분석된 결과를 넣을 수 있도록 관련 폴더가 생성되어 있음
- Disk Image or VM File 선택 -> drive4.E01 선택
- hash.txt눌러 hashset에 추가 -> HashLookup 만 선택
- 결과 -> 해쉬값이 이전에 넣은 해쉬값과 같음
3. 파일 복구
- 도구 : Autopsy
- 위와 똑같은 방식으로 하기 / hash값도 추가하기 ( hashset-4-practice.txt)
- 도구 : FTK
- image파일을 추가후 파일 검색 / Slack도 보여줌
▶ Slack
- 윈도우 파일 시스템 : NTFS, FAT
- HDD (SSD) 파일 저장 기본 단위 : sector(512 Byte : 0-511)
- OS -> Cluster 단위로 저장 (8 sector->4KB)
- File1.exe 5K 라고 하면 1cluster에 4k 저장되고 2cluster에 2sector만 사용 나머지 6sector가 slack이라고 함 / File2는 2cluster 다음부터 사용함
- 파일 찾기
- 실행파일(executable)
- ntdll.dll이 dll파일 실행시켜줌- 엔트리 포인트랑 사용되는 방식 다름
- -Exe파일, dll 파일 : mz로 시작 this프로그램 나오고 pe나옴
