data leakage case #23, artifacts of renamed files

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://holywaterkim.tistory.com/19?category=811084

http://forensicinsight.org/wp-content/uploads/2013/07/F-INSIGHT-Advanced-UsnJrnl-Forensics-Korean.pdf

http://jxo21.tistory.com/14 "Registry Shellbag"

http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식"

#23. Identify all traces related to ‘renaming’ of files in Windows Desktop.

(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)

[Hint: the parent directories of renamed files were deleted and their MFT entries were also overwritten. Therefore, you may not be able to find their full paths.]

---

1. 파일시스템 로그 분석(NTFS Log Tracker) : Renaming에 대한 직접적인 흔적

2. ShellBags 분석(ShellBagsExplorer) : 사용자의 폴더 열람 기록

3. Windows Search database 분석(WinSearchDBAnalyzer) : 윈도우 내 존재했던 폴더, 파일 기록

1. 파일시스템 로그 분석

---

가. NTFS Log Tracker에 다음의 파일을 입력하여 파일시스템 로그 정보를 추출한다.

$UsnJrnl : C:\$Extend\$Usnjrnl:$J

$MFT : C:\$MFT

$LogFile : C:\$LogFile

나. SQLite Expert Personal 를 이용해 해당 db 를 분석한다.

쿼리는 다음과 같으며 각 라인에 대한 설명을 첨부하였다.

1) select * from UsnJrnl where event like '%file_renamed%' 

2) and timestamp > '2015-03-23 00:00:00' and timestamp < '2015-03-25 00:00:00' 

3) and (fullpath like '%informant_desktop%' or fullpath is '') 

4) and fileattr is 'Archive'

1) renaming 된 파일을 찾기 위한 event 명

2) 2015-03-23 ~ 2015-03-24 기록

3) fullpath is '%informant_desktop%' 는 informant 계정의 바탕화면 경로이다.

   fullpath is '' 는 문제의 힌트에 설명되어있듯이, 해당 파일이 있던 부모 디렉토리가 삭제되었을 경우 fullpath 를 알 수 없기 때문이다.

4) fileattr 은 폴더인지 파일인지 구분하는 필드이며, 파일만 보기 위해 Archive 라는 옵션을 주었다.

[참고] $UsnJrnl의 각 필드별 의미

TimeStamp 가 동일하고, Event 가 File_Renamed_Old, File_Renamed_New, File_Renamed_New/Closed 3개가 연속으로 나타나는 것이 파일의 이름을 바꾼 행위에 대한 기록이다.

2. ShellBags 분석

---

ShellBag 이란?

쉘백은 최초로 폴더를 열람 시 생성된다. 이외에도 폴더를 생성, 복사, 압축 프로그램에 의해 실행되었을 경우에도 생성된다.

가. Eric Zimmerman's tools 중, ShellBagsExplorer을 처음 실행시키면 다음과 같이 초기 설정을 할 수 있으며, 이후에 옵션탭을 통해 변경할 수 있다.

time zone 을 분석 PC에 맞게 설정한다. (UTC-4) 

나. [File] - [Load offline hive] 에서 분석할 계정의 NTUSER.DAT 과 UsrClass.dat 을 선택한다.

(동시에 여러개 선택이 안되서 각각 선택 후 분석해야 한다.)

다. 다음과 같이 실행결과에 대한 창이 뜬다.

라. [Tools] - [Expand tree nodes] 를 클릭하면 tree 구조가 전부 펼쳐진다.

마. informant 사용자가 열람했던 폴더 구조를 살펴볼 수 있다.

3. Windows Search Database 분석

---

Windows.edb 란?

Windows.edb 파일에는 윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있다. 윈도우 검색 색인 정보는 사용자가 정의하지 않더라도 사용자의 기본 폴더, 이메일, 인터넷 히스토리 등의 정보가 저장되므로 포렌식 분석에 큰 도움이 될 수 있다.

Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows

가.  Windows.edb 파일을 Recover/Copy 한다.

나.  WinSearchDBAnalyzer를 이용해 해당 파일을 분석한다.