-
Digital Forensic 2 - 디지털 포렌식 2Security 2022. 5. 23. 17:37
File Analysis (파일 분석 기법)
Microsoft File
Image File
- Autopsy를 사용
보면 Latitude와 Longtitude가 있는데 이것은 위도와 경도를 나타냅니다. 검색을 해서 사진을 찍은 곳의 위치를 알 수 있습니다.
사진이 촬영된 장소와 날짜, 시간 등을 분석하고 얻고자 하는 정보를 유추할 수 있습니다.
그리고 이렇게 이런 정보들이 유출될 수도 있으니 사진을 촬영하고 전송할 때 좀 더 유의를 하는 것이 좋아 보입니다.
File Signature Analysis (파일 특징 분석)
File Signature Analysis는 Autopsy를 사용하겠습니다.
GCK'S FILE SIGNATURES TABLE : https://www.garykessler.net/library/file_sigs.html
Browsing History View (인터넷 사용 흔적 분석)
Browsing History View를 실행해줍니다.
상세 정보의 URL 내용
Cyber Chef : https://gchq.github.io/CyberChef/
- 여러 Incode, Decode 제공
Registry Analysis (레지스트리 분석)
https://www.epochconverter.com/
MiTeC Windows Registry Recovery를 이용한 분석
DHCP IP Address, DHCP IP 할당 시간 등의 정보 등을 확인할 수 있습니다.
DHCP(Dynamic Host Configuration Protocol)
: 호스트의 IP주소와 각종 TCP/IP 프로토콜의 기본 설정을 클라이언트에게 자동적으로 제공해주는 프로토콜을 말합니다. DHCP에 대한 표준은 RFC문서에 정의되어 있으며, DHCP는 네트워크에 사용되는 IP주소를 DHCP 서버가 중앙집중식으로 관리하는 클라이언트/서버 모델을 사용하게 됩니다. DHCP지원 클라이언트는 네트워크 부팅 과정에서 DHCP 서버에 IP주소를 요청하고 이를 얻을 수 있습니다. 네트워크 안에 컴퓨터에 자동으로 네임 서버 주소, IP주소, 게이트웨이 주소를 할당해주는 것을 의미하고, 해당 클라이언트에게 일정 기간 임대를 하는 동적 주소 할당 프로토콜입니다.
RegRipper를 이용하여 Offline Registry 읽기
Profile은 ntuser을 선택해주고 아래의 Rip It 버튼을 눌러줍니다.
Grep Searches
Astro Grep을 이용한 Log Files 검색
Prefaetch File Analysis (프리패치 파일 분석)
Win Prefetch View를 사용
실행 횟수(Run Counter), 마지막으로 실행된 날짜(Last Run Time), 실행되는 dll 파일의 개수 등 확인이 가능합니다.
Shortcuts / Link File, Jumplist Analysis
( Shortcuts / Link 파일 및 점프리스트 분석)
: Shortcut과 Jumplist가 가지고 있는 정보
- 참조하는 파일과 볼륨에 대한 이름과 경로
- 참조하는 파일의 크기
- 참조하는 파일의 Timestamps
- 참조하는 파일이 존재한 볼륨의 이름과 Sereal Number
- 참조하는 파일에 처음으로 접근한 컴퓨터의 MAC address
Shortcut 분석
Shortcuts의 포렌식 의미
: 사용자가 접근한 파일, 볼륨, 애플리케이션을 파악할 때, 시스템의 Timestamp를 분석하는 것뿐 아니라, 바로가기 (Shortcuts/Shell Link) 분석도 필요
- 파일이나 볼륨을 탐색기를 통해 열 때, OS가 사용자 Roming Profile에 생성합니다.
C:\Users\Username(사용자 설정 이름)\AppData\Roaming\Microsoft\Windows\Recent\
- Microsoft Office 파일을 열 때, Office가 다음 디렉토리에 생성합니다.
C:\Users\Username(사용자 설정 이름)\AppData\Roaming\Microsoft\Office\Recent\
- 사용자가 임의로 생성하는 경우도 있습니다.
WFA (Windows File Analyzer)를 사용
Linked path, Created, Written, Last Accessed, Size, Vol Type, Vol Serial 등을 알 수 있습니다.
Jumplist 분석
: Windows 7부터, 자주 사용되고 최근에 실행된 파일, 응용 프로그램, 웹 브라우저 활동을 참조하는 기능을 추가했습니다.
Jumplist를 설치 후 실행해줍니다.
NetBIOS Name, Date/Time, MAC, Timestamp, Data를 확인할 수 있습니다.
'Security' 카테고리의 다른 글
File Download Bypass - 파일 다운로드 우회 (0) 2022.07.25 개인정보 보호법 (0) 2022.06.09 Digital Forensic - 디지털 포렌식 (0) 2022.05.20 Forensic - 포렌식 (2) 2022.05.19 Ubuntu - Argus-clients, Shell Script - 우분투 Argus-client, 쉘 스크립트 (0) 2022.05.18