-
Digital Forensic - 디지털 포렌식Security 2022. 5. 20. 20:09
여러 Tool을 이용한 Digital Forensic
소프트웨어 쓰기 방지 장치
위의 경로에 들어간 후 StorageDevicePolicies라는 새로운 키를 만들어줍니다.
들어가서 DWARD (32비트) 값을 새로 생성해줍니다. 이름은 WriteProtect
그리고 더블 클릭하면
그리고 USB 장치를 연결하면 새 폴더를 만들어보면 새로운 폴터가 만들어지지 않는 것을 알 수 있습니다.
사진은 폴더가 만들어지지 않는 것이라 따로 준비하지 않았습니다.
그리고 혹시 그냥 폴더가 만들어진다면 키의 이름과 D WARD 값의 이름을 다시 한번 확인해주시기 바랍니다.
Forensic Image 만들기
FTK Imager 사용* 위의 소프트웨어 쓰기 방지 장치가 실행된 상태입니다. *설치 후 실행시켜줍니다.
캡쳐를 못했는데 Source Drive Selection을 연결한 USB Driver를 선택합니다.
Hashing
: 원본과 사본의 동일성을 확인할 때 유용
Hash My Files 설치 후 실행
MD5, SHA1 등의 값이 같은 파일들이 있는데 확장자는 다릅니다. 이유는 RAW 값이 같기 때문인데 가짜 파일을 가려봅시다.
몇 개가 있지만 Hashing-2와 Hashing-7을 비교해보겠습니다.
Hashing - Autopsy
Autopsy 설치 후 실행
위에 넣은 Hash-Set과 다른데, 오류가 있어서 다시 했습니다. 방법은 같습니다.
File Export
Export 폴더의 경로는 처음에 만들었던 Base Directory의 내부에 Export가 있습니다.
Export 한 파일 MD5, Full Path 값 찾기
파일들을 리스트로 내보내기
Slack
Slack에 대해 설명하자면
Disk는 Cluster로 구성되어 있습니다.
Cluster는 하나 이상의 Sector로 구성되어 있고, Cluster는 파일이 저장되는 단위입니다. NFTS에서는 보통 Sector의 크기가 512 Byte이고 1개의 Cluster는 8개의 Sector로 이루어져 있으므로 Cluster의 크기는 일반적으로 4096 Byte입니다.
아무리 작은 파일을 만들어도 최소 4096 Byte는 쓰입니다. 예를 들어 1300 Byte의 파일을 생성하면 아래와 같이 2.x 개의 섹터가 사용되고 나머지 공간은 비어있습니다.
Sector내의 비어있는 공간을 RAM Slack이라고 하며, 아예 쓰여지지 않은 공간들은 Drive Slack이라고 합니다.
출처 : https://always-try.tistory.com/
'Security' 카테고리의 다른 글
개인정보 보호법 (0) 2022.06.09 Digital Forensic 2 - 디지털 포렌식 2 (0) 2022.05.23 Forensic - 포렌식 (2) 2022.05.19 Ubuntu - Argus-clients, Shell Script - 우분투 Argus-client, 쉘 스크립트 (0) 2022.05.18 PCRE, awk, Shell Script, Log Check - 정규 표현식, awk, 쉘 스크립트, 로그 확인 (0) 2022.05.18