전체 글
[Practice] NTFS Log Tracker ($LogFile, $UsnJrnl:$J, $MFT)
Practice #1 $LogFile, $UsnJrnl:$J, $MFT를 수집하세요. $MFT 파일의 내용을 해석하여 목록을 확인해봅니다. $MFT 추출 운영체제가 설치된 Physical Drive의 Basic data partition → root 경로에 존재한다. $LogFile 추출 $LogFile 또한 Basic data partition → root 경로에 존재한다. $UsnJrnl → $J : 롤백을 위해 이벤트 발생 시 저장. $J 파일은 Basic data partition → root -> $Extend -> UsrJrnl에 있다. Practice #2 #1에서 수집한 3개의 파일을 NTFS Log Tracker 도구를 이용하여 분석해 보세요. blueangel's ForensicNote..
[Quiz & Practice] 디스크 논리 구조 (MFT)
1 Quiz. 자신의 환경에서 30번 MFT 엔트리 정보를 확인하세요. VBR 구조체 → MFT의 시작 클러스터 확인 MFT의 시작 클러스터 : 0xC0000(786432) MFT의 시작 섹터 : 786432*8 = 6291456 6291456 섹터로 가면 FILE0 시그니처가 보인다. 0xC0000000부터 MFT 시작 주소임을 알 수 있다. 30번 MFT 엔트리 시작 주소 : 0xC0007800 Fixup Array 시작 위치 : 0xC0007830 LSN ($Logfile Sequence Number) : 0x0000000E660E10FF Sequence Number : 0x0001 첫번째 속성의 오프셋 주소 : 0x0038 Flag : 0x0003 MFT 엔트리 크기 : 0x000001D8 할당된..
[Practice] USB 디스크 이미지 수집 실습
FTK Imager 수집 도구를 이용한 USB 디스크 이미지 수집 실습이다. Download FTK Imager Version 4.7.1 - Exterro Exterro’s Legal Governance, Risk and Compliance (GRC) solutions enable you to address your privacy, compliance, investigation and litigation risks more effectively and at lower costs. www.exterro.com 위 링크에서 FTK Imager를 다운로드한다. 1. PHYSICALDRIVE2 - SanDisk 선택 2. E01 타입 선택 3. 정보 입력 4. 저장 경로 및 Fragment Size 입력 5. ..
[Practice] 소프트웨어 쓰기 방지
윈도우 운영체제에서 레지스트리를 이용하여 소프트웨어적으로 쓰기를 방지할 수 있다. HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect DWORD, 1 위 사진 경로의 레지스터 키(WriteProtect) 값을 1로 설정한다. 해당 경로에 키 값이 없다면, 위와 같이 만들어주면 된다. 이후, 외부 보조 저장장치 재연결 이후 쓰기 시도 테스트 → 차단 확인 필자는 USB(E:) 로 실습했다.
[Quiz] 디스크 논리 구조 (Cluster, Sector, GPT, VBR)
#1 Quiz. 100111(2) = 39(10) 65(10) = 41(16) ABC(16) = 1010 1011 1100(2) DEF(16) = 3,567(10) 321321(10) = 0100 1110 0111 0010 1001(2) 111100(2) = 3C(16) #2 Quiz. 아래 하이라이팅된 문자는 몇 비트(bit)인가요? 7bit 1 바이트(byte)가 표현 가능한 모든 수는 몇 개인가요? 256개 숫자형 데이터 ‘0x987654’를 각각 빅-엔디안, 리틀-엔디안으로 표현하세요. 빅 엔디안? : 98 76 54 (0x987654) 리틀 엔디안? : 54 76 98 (0x547698) #3 Quiz. MBR 파티션으로 포맷된 윈도우 운영체제가 설치된 디스크 ①UEFI BIOS 상에서 사용 가..
[Forensic] 대검찰청, 경찰청, 공정 거래 위원회 조사 증거 수집 및 분석 규정
대검찰청 제 1조(목적) 이 규정은 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체(이하 ‘정보저장매체등’ 이라고 한다)로부터 디지털 증거를 수집·보존·분석·현출 및 관리하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다. 제 4조 : 적법절차의 준수 제 5조 : 원본성 유지 제 6조 : 무결성 유지 제 7조 : 신뢰성 유지 제 8조 : 연계보안성 유지 제 9조(디지털포렌식 수사관의 자격) 디지털포렌식 수사관은 다음 각 호의 자격요건을 갖추고 3개월 이상 디지털포렌식 수사 실무를 수행한 자 중에서 임명한다. 대검찰청 디지털수사과(이하 ‘디지털수사과’라고 한다)에서 실시하는 "디지털포렌식 전문가 양성과정"의 교육을 이수한 자 ..
[Forensic] 디지털 포렌식 개념과 원리
디지털 포렌식(Digital Forensics) 1. 정의 및 의의 디지털 포렌식이란 디지털증거를 수집, 분석, 보존, 현출하는데 적용되는 과학 기술 및 절차를 말한다. 전통적으로 디지털 포렌식이라는 개념은 주로 법의학 분야에서 사용되었지만, 최근 다양한 정보기기들의 활용과 소비가 높아지기 때문에 물리적인 증거 뿐만 아니라, 특수매체에 저장된 전자적 증거(Electronic Evidence)를 다루는 분야에서 포렌식이라는 용어가 확장되어 사용되고 있다. 또한, 법적 효력을 가진 전자적 증거로 채택되기 위해서는, 논리적이고 체계적인 정차에 따라 수집되어야 한다. 따라서, 증거 분석관과 도구에 대한 신뢰성이 확보되는 것이 중요하다. 2. 역사 1970년대 이전에는 컴퓨터 관련 범죄가 기존 법률을 사용하여 처..