테스트 장비
24core 3.2Ghz,64GB 메모리
Case 보관 및 원본 저장 스토리지의 성능 중요 (분석 시, SATA기준 읽기/쓰기가 초당 15Mbyte 발생)
FTK 6.1
1. 설치 후, 라이센스 메니지먼트 프로그램을 통해서 동글 라이센스를 최신상태로 갱신해야함. (device refresh)
2. DB 폴더를 Case 및에 넣어서 case 관리가 가능해졌으나 폴더이름을 영어로만 사용해야 Case가 생성됨.
3. 가상화 파일은 VDI, VMDK, VHD만 가능
프로세싱 시간 : 50기가 VHD 파일 -> ?? 시간
CPU 및 메모리 전체 고르게 사용함. (CPU 전체 평균 35%, 메모리 10G)
오후 2:38 ~ 7:16분 완료 (총 4시간 38분 소요) : Forensic 표준 프로세스 적용
도구에 이미지 무결성 확인 : 5분정도 소요 -> 의미는 볼륨 Hash값 확인
internet shortcut : 바로가기
live search : bit 단위 검색 (오래걸림)
index search : dtsearch라고도 하며, 파일 내부 검색
파일수 : 130만5천3백개
카빙된 파일 : 0개
삭제된 파일 : 826,609개 (MFT에서 복구)
별도 카빙 : 12:04 ~ 13:38 (42분수행) -> 169,701개 추가됨
가상PC 만들기(Windows Virtual PC)
https://www.microsoft.com/ko-kr/download/details.aspx?id=3702
가상 컴퓨터 만들기 -> 윈도우 CD 삽입 -> 부팅 -> 윈도우 설치
Encase 8.1
프로그램 설치 -> 실행 -> 동글 등록
https://www.guidancesoftware.com/support/product-registration
등록 후 메일 받으면 하단 링크에서 Cert 파일을 encase 설치된 경로에 복사
(C:\Program Files\EnCase8\Certs) 확장자가 cert임.
50G VHD파일
Process Options (기본카빙 포함) -> 오전 11시02~53분 완료 (51분 소요)
recovered folders 파일 : 30,064개
Lost Files : 3,094개
전체 삭제파일 : 200,117개 (컨디션 is del)
CPU 평균 49% 사용, 메모리 32.5G 사용
카빙 2가지 조사 : 14:13~17:20 (3시간 소요)
결과는 artifacts에 들어가 있고 362146개의 PPT파일이 복구되었는데 파일 size가 4096으로 일관되게 복구되었고 하나의 파일 형태가 아니였다. 기본 옵션으로 복구 시 파일을 쪼개서 복구했음.
가상화 파일 조사
Xenconvert 2.3.1 설치 및 실행
XVA를 OVF파일로 변환하면, OVF와 VHD 파일이 2개 생성됨.
VHD 파일을 포렌식 툴로 조사하면 됨
삭제 파일 의미
1. del : 복구 100%됨
2. Overwrite : 복구 불가한 삭제된 파일. MFT에 정보가 있는데 실제 비할당 영역에 가보니 데이터가 없는 경우
3. carving은 메타데이터가 덮어써졌을때 복구하는 방법으로 복구가 되어도 파일명은 복구되지 않는다.
파티션 Size 구하는법
- MFT에서 뒤에 64byte가 파티션 정보 -> decode로 보면 처음 sector 정보와 전체 Size Sector 정보가 나옴.
마지막-처음위치 정보 -1이 전체 Size이고 Sector니까 *512로 Byte로 바꾸고 1024로 나눠서 계산하면됨.
파티션 매직하면 북마크에 정보가 나오는데 이때 bookmark sector의 정보가 파티션 섹터 위치를 나타냄
add partition에 위치 정보 넣고 total sectors in partition 부분에는 그다음 bookmark sector에서 뺀 값을 씀.
index 옵션
2번째 : 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (해쉬 라이브러리에 Known으로 되어있는거)
3번째 : 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (의심, Known등 전체 다 skip)
라이브러리 다운로드 -> 실행파일 클릭하면 라이브러리를 알아서 설치함. 라이브러리 연동은 케이스 옵션 탭에 있고 프라이머리로 설정하여 연결. 다운로드 받은 파일은 모두 Known 파일임.
연결된 해쉬 라이브러리 확인은 필터창에서 find item my hash catagory로 분석할 수 있음.
그냥 컨디션으로 hash을 match에 넣어서 분석도 가능하나 수량이 많은 경우는 위 방법으로 처리
contain : 단어 포함
match : 정확한거 여러개
find : contain 여러개
PC에 USB에 물려 파일 열어보면 링크파일만 남음. 저장은 메모리에만 남음.Swap이 되면 page 파일에 남을 수 있음.
페이지 파일 키워드 검색한다.
프로세싱할때 키워드 검색이 인덱스 검색이 가능하다. 옵션에 컴파운드 파일이 있어서 raw 서치 + index 서치가 같이됨.
할때 같이해라. 그냥 셀랙트하는거랑 프로세싱해서 하는거랑 차이가 있다.
Encase의 recover folder는 meta carving으로써 아주 과거의 MFT의 정보를 추적하여 복구하는 기능이다. MFT도 컴퓨터가 실행되면 메모리에 올라가고 그렇게 되면 HDD 공간 페이지 파일 등에 정보가 남아 있다. 이러한 정보들을 통해 MFT의 Meta 정보들을 활용해서 복구하는 방법이다.
Lost files의 경우 폴더 위치 정보를 찾을 수 없는 파일들을 모아 놓은 곳이다. MFT를 분석을 했더니 폴더 전체 Tree를 그리지 못하는 경우인데 파일 어트리뷰트는 파일명과 부모 폴더 ID를 가진다. 그런데 부모 폴더 상위 이상의 파일들이 삭제되고 나서 레코드가 재활용 되버린 경우 폴더의 전체 Tree를 잃어 버렸기때문에 경로를 알수 없는 file들이 생긴다.
참고로 MFT 정보에 파일명, 폴더 위치 정보가 남아있지 실제 파일에는 이런 정보가 없다. 따라서 carving으로 복구했을때 파일명도 그리고 폴더위치도 알수가 없는것이다.
Carving 복구하면 임의의 문자명으로 복구됨. MFT 정보에서 복구한것이 아니기 때문에 스스로의 위치나 파일명 정보를 알수가 없다.
댓글 없음:
댓글 쓰기