data leakage case #21, ost file

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

#21. List all e-mails of the suspect. If possible, identify deleted e-mails.

(You can identify the following items: Timestamp, From, To, Subject, Body, and Attachment)

[Hint: just examine the OST file only.]

---

1. OSTViewerPro를 이용한 이메일 분석

2. Autopsy를 이용한 첨부파일 분석

1. OSTViewerPro 를 이용한 이메일 분석

---

가. Winhex 를 이용해 OST 파일을 recover/copy 한다.

나. OST 파일을, OSTViewer 로 불러온다.

다. 다음과 같은 화면이 나온다.

라. Folder List 에서 "Deleted Items", "Inbox", "Sent Items" 에만 내용이 존재하며 다음과 같다.

마. 이 중 다음 링크가 첨부된 메일의 내용을 확인할 수 있고, 2개의 파일을 다운로드 한다.

2. Autopsy 를 이용한 첨부파일 분석

---

do_u_wanna_build_a_snow_man.mp3

happy_holiday.jpg

가. 위 두개의 파일을 오픈하려고 하면 다음과 같은 에러메세지가 뜬다.

혐의자가 파일의 확장자를 임의 변경한 것을 알 수 있고, 해당 파일의 원래 확장자를 알기 위하여 Autopsy 를 이용한다.

나. Autopsy 에서 New Case 를 만든다음 다음과 같이 2개의 파일을 추가한다.

다. 옵션에서는 파일 분석과 관련된 것을 선택하였다.

라. By MIME Type 이 원래의 확장자이며 각각 pptx(presentation), xlsx(sheet) 형식인 것을 확인할 수 있다.

마. 다음과 같이 원래 파일의 확장자로 변경한 후, 확인해보면 혐의자가 숨기려 했던 내용을 확인할 수 있다.