c0msherl0ck.github.io

forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html

https://www.youtube.com/watch?reload=9&v=LITxwxdvuWo "SANS SIFT - Mount E01 Forensic Image Using imageMounter.py script"

https://medium.com/@cloudyforensics/sans-sift-workstation-761b3dc395bc "SANS SIFT Workstation"


#31. Perform a Anti-Virus check. Are there any viruses on the computer?


1. Converting image

2. Antivirus scan


1. Converting image


Virtual machine 에서 해당 이미지를 분석하기 위하여 다음과 같이 이미지를 변환한다.(dd -> vmdk)

[주의] E01 -> vmdk 는 되지 않으므로, E01 -> (FTK imager) -> DD ->(qemu) -> vmdk 과정을 거쳐야 한다.

$qemu-img convert [image1] [image2] .. [image N] -O vmdk [output.vmdk]


vmdk 파일을 virtual machine 에 import 하여 antivirus 스캔을 진행하려고 하였으나, 많은 antivirus 프로그램들이 해당 WinXP 버전에서 dll 에러가 뜨는 등의 문제가 발견되어, SANS-SIFT 에 직접 마운트하여 스캔을 진행하였다.


2. Antivirus Scan


가. image mount

$imageMounter.py -e [image] [mounted path]  // -e 는 E01 옵션이다.


나. scan

$clamscan -ri [mounted path]  // -r : recursive, -i : print only infected file


다. unmount

$umount [mounted path]


https://www.cfreds.nist.gov/Hacking_Case.html

http://forensic-proof.com/archives/288 "윈도우 휴지통 분석"


#28. How many executable files are in the recycle bin?


[윈도우 운영체제별 휴지통 경로]

Operating System

 Common File System

 Recycle Bin system folder

 Windows 95/98/ME

 FAT32

 C:Recycled

 Windows NT/2K/XP

 NTFS

 C:Recycler<USER SID>

 Windows Vista

 NTFS

 C:$Recycle.Bin<USER SID>


winhex 에서 해당 경로를 찾아가면 다음과 같고, 실행파일은 총 4개이다.


#29. Are these files really deleted?


윈도우에서 파일을 삭제할 때에는 실제로 해당 파일을 지우는 것이 아니라 해당 파일의 Meta 정보만($MFT 등) 변경하는 것이다. 그러므로, 삭제를 하여 휴지통으로 이동(폴더 경로 변경)되었다 하더라도 손쉽게 우클릭을 통해 복구를 할 수 있는 것이다. 추가적으로, 휴지통으로 이동이 아닌 shift + delete 기능의 경우에는 Meta 정보만($MFT 등) 삭제를 하였다 표기하고, 실제 파일 데이터 영역까지의 링크를 끊는것이므로 해당 영역에는 파일 데이터가 계속 존재하고 있고, 파일 카빙등을 통해 복구할 수 있다.

 

#30. How many files are actually reported to be deleted by the file system? 


https://github.com/abelcheung/rifiuti2 "USAGE"

https://github.com/abelcheung/rifiuti2/releases "DOWNLOAD"

Rifiuti2 is a for analyzing Windows Recycle Bin INFO2 file. Analysis of Windows Recycle Bin is usually carried out during Windows computer forensics. Rifiuti2 can extract file deletion time, original path and size of deleted files and whether the trashed files have been permanently removed.


$rifiuti2.exe -o [output] [input : INFO2]


https://www.cfreds.nist.gov/Hacking_Case.html


#27. Yahoo mail, a popular web based email service, saves copies of the email under what file name?


#26 에서 용의자의 email address 는 mrevilrulez@yahoo.com 이었고, 이를 email.file_2.txt 에서 찾아보면 다음의 4개의 파일에서 해당 이메일 주소가 발견되었음을 알 수 있다.


Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/HYU1BON0/last[1].htm

Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/HYU1BON0/login[1].htm

Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/HYU1BON0/ShowFolder[1].htm

Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/HYU1BON0/ShowLetter[1].htm


[email.file_2.txt]


위의 4가지 파일을 추출하여 열어보았을 때, email 사본이 저장된 것은 ShowLetter[1].htm 파일이다.


[ShowLetter[1].htm]