분석

테스트 장비
24core 3.2Ghz,64GB 메모리
Case 보관 및 원본 저장 스토리지의 성능 중요 (분석 시, SATA기준 읽기/쓰기가 초당 15Mbyte 발생)

FTK 6.1
1. 설치 후, 라이센스 메니지먼트 프로그램을 통해서 동글 라이센스를 최신상태로 갱신해야함. (device refresh)
2. DB 폴더를 Case 및에 넣어서 case 관리가 가능해졌으나 폴더이름을 영어로만 사용해야 Case가 생성됨.
3. 가상화 파일은 VDI, VMDK, VHD만 가능
프로세싱 시간 : 50기가 VHD 파일 -> 4 시간
CPU 및 메모리 전체 고르게 사용함. (CPU 전체 평균 35%, 메모리 10G)
오후 2:38 ~ 7:16분 완료 (총 4시간 38분 소요) : Forensic 표준 프로세스 적용
도구에 이미지 무결성 확인 : 5분정도 소요 -> 의미는 볼륨 Hash값 확인
internet shortcut : 바로가기
live search : bit 단위 검색 (오래걸림)
index search : dtsearch라고도 하며, 파일 내부 검색
파일수 : 130만5천3백개
카빙된 파일 : 0개
삭제된 파일 : 826,609개 (MFT에서 복구)
별도 카빙 : 12:04 ~ 13:38 (42분수행) -> 169,701개 추가됨

가상PC 만들기(Windows Virtual PC)
https://www.microsoft.com/ko-kr/download/details.aspx?id=3702
가상 컴퓨터 만들기 -> 윈도우 CD 삽입 -> 부팅 -> 윈도우 설치

Encase 8.1
프로그램 설치 -> 실행 -> 동글 등록
https://www.guidancesoftware.com/support/product-registration
등록 후 메일 받으면 하단 링크에서 Cert 파일을 encase 설치된 경로에 복사
(C:\Program Files\EnCase8\Certs) 확장자가 cert임.

50G VHD파일
Process Options (기본카빙 포함) -> 오전 11시02~53분 완료 (51분 소요)
recovered folders 파일 : 30,064개
Lost Files : 3,094개
전체 삭제파일 : 200,117개 (컨디션 is del)

CPU 평균 49% 사용, 메모리 32.5G 사용

카빙 2가지 조사 : 17:25~26:11분 (9시간 가량 소요)

가상화 파일 조사
Xenconvert 2.3.1 설치 및 실행
XVA를 OVF파일로 변환하면, OVF와 VHD 파일이 2개 생성됨.
VHD 파일을 포렌식 툴로 조사하면 됨

삭제 파일 의미
1. del : 복구 100%됨
2. Overwrite : 복구 불가한 삭제된 파일. MFT에 정보가 있는데 실제 비할당 영역에 가보니 데이터가 없는 경우나
역으로 비할당 영역에서 Overwrite되어 Carving으로 일부만 복구해진 경우
3. carving은 메타데이터가 덮어써졌을때 복구하는 방법으로 복구가 되어도 파일명은 복구되지 않는다.
파티션 Size 구하는법
- MFT에서 뒤에 64byte가 파티션 정보 -> decode로 보면 처음 sector 정보와 전체 Size Sector 정보가 나옴.
마지막-처음위치 정보 -1이 전체 Size이고 Sector니까 *512로 Byte로 바꾸고 1024로 나눠서 계산하면됨.

볼륨시리얼인란? 링크파일에서의 의미
파티션에 대한 시리얼 번호를 나타낸다. 해당 시리얼 번호는 링크파일에 정보가 담겨있는데
이를 emdmgmt registry 정보를 통해서 확인할 수 있다. 16진수로 되어있는데 해당 10진수로 변환하여 그 값은 EMDmgmt에서 찾아보면
해당 USB 등의 시리얼 번호를 확인 가능하다.

파티션 매직하면 북마크에 정보가 나오는데 이때 bookmark sector의 정보가 파티션 섹터 위치를 나타냄
add partition에 위치 정보 넣고 total sectors in partition 부분에는 그다음 bookmark sector에서 뺀 값을 씀.

 I have worked about security for 10 years and I have licenses related in forensic, network, DB and so on. (EnCE, FTK, OCP, CCNA)
I am working in doosan company and I am in charge of security manager and I have lots of experience about digital forensic.

 I am studying through the internet site (SANS, University...) and book related in security.
and then I summary the information to note.
I will bring my note to test center.
인텍스 할때 (Process-> Index)
2번째 : 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (해쉬 라이브러리에 Known으로 되어있는거)
3번째: 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (의심, Known등 전체 다 skip)
논리적으로 지워지지 않은 파일에 대해서 (오버라이트는 무시) 우선 검색한다.
라이브러리 다운로드. -> 실행파일 클릭하면 라이브러리를 알아서 설치함. 라이브러리 연동은 케이스 옵션 탭에

필터창에 find item my hash catagory.
contain : 단어 포함
match : 정확한거 여러개
find : contain 여러개
PC에 USB에 물려 파일 열어보면 링크파일만 남음. 저장은 메모리에만 남음.Swap이 되면 page 파일에 남을 수 있음.
페이지 파일 키워드 검색한다.
프로세싱할때 키워드 검색이 인덱스 검색이 가능하다. 옵션에 컴파운드 파일이 있어서 raw 서치 + index 서치가 같이됨.
할때 같이해라. 그냥 셀랙트하는거랑 프로세싱해서 하는거랑 차이가 있다.
포렌식 - 해당 인원의 업무를 파악해라. 외부에 가게되면 어떠한 정보가 유용하게 사용될 것인가? 컨설팅이 주 업무인 경우, 회사에서 만든 전략 보고서가 중요하지 않을 수 있다.
그들이 필요한건 잘 구조화 되어있는 템플릿 보고서인데 이는 이미 개인 PC에 보관하고 이를 활용하여 회사 자료를 만드는 경우가 대부분이라 보통의 경우 회사 자료가 크게 쓸모가 없다.
그런데 인사 프로세스, 프로젝트, 교육컨텐츠 개발폼등은 오랜 시간 다듬어온 절차와 보고서 문서이므로 외부에서 활용될 가치가 높다. 외부에서 업무상 참고할 자료 측면에서 무엇을 가지고 나갈지에
대해서 고민을 하고 조사를 하는 것이 중요하다.