c0msherl0ck.github.io

data leakage case #25, #26, folder and file opening history

Forensic/CFReDS-Data Leakage Case2018. 10. 13. 05:02

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"

http://forensic-proof.com/archives/1904 "윈도우 7 점프 목록 (Windows 7 Jump Lists)"


#25. List all directories that were traversed in ‘RM#2’.

#26. List all files that were traversed in ‘RM#2’.

1. ShellBagsExplorer 를 통한 분석

2. 링크파일(.lnk)을 이용한 분석

3. 점프목록(jumpList) 분석


#22. USB 흔적 분석에서 RM#1 과 #RM#2가 'E:' 드라이브로 마운트 되었던 기록을 확인할 수 있으며, 해당 드라이브와 관련된 폴더 및 파일 열람 흔적을 분석한다.


1. ShellBagsExplorer를 통한 분석

다음과 같이 E 드라이브에 마운트 되었던 장치의 폴더 및 파일 열람 정보를 알 수 있다.

(이전 글 #23 참고.)


E: 드라이브 하위 폴더 중, RM#1의 하위 폴더를 제외한 Secret Project Data의 하위 폴더가 RM#2에서 탐색된 폴더이다.



2. 링크파일(.lnk) 분석

다음과 같이 E 드라이브에서 최근에 실행되었던 '문서' 파일 2개를 확인할 수 있다.

그러나, 해당 파일은 RM#2가 아닌 RM#1의 흔적이다.




3. 점프목록(JumpList) 분석

점프목록이란?

"작업 표시줄에 나타나는 응용프로그램에 마우스를 위치시킨 후 마우스를 우클릭하면 해당 응용프로그램으로 최근에 열거나 사용했던 파일들이 표시된다. 이를 점프 목록이라 부른다." (출처 - http://forensic-proof.com/archives/1904 "윈도우 7 점프 목록 (Windows 7 Jump Lists)")


가. 다음 경로의 폴더를 Recover/Copy 한다.


C:\Users\[UserProfile]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

C:\Users\[UserProfile]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations


AutomaticDestinations(이하 AutoDes) : 최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록

CustomDestinations(이하 CustomDes) : 자주 사용되는 목록(Frequent)이나 작업(Tasks) 목록



나. nirsoft 의 JumpListView 를 통해 분석한다.


다음 그림은 readme.txt 의 일부이다.

(윈7, 8, 10, 32bit 64bit 를 다 지원한다.)



다. 최초 실행시 Host-PC 의 JumpList 를 분석하나, [Options] - [Advanced Options] 기능을 통해 분석하고자 하는 PC 의 점프목록 파일을 로드할 수 있다.




라. (가) 에서 복구한 2개의 폴더가 있는 폴더를 지정한다.

(필자는 #jumpList 폴더에 AutomaticDestinations, CustomDestinations 를 복구하였다.)



마. 다음과 같이 최근에 열람한 파일 및 폴더들을 확인 할 수 있다.


E:\Secret Project Data\design\winter_whether_advisory.zip 이 RM#2에서 탐색된 압축파일이다.


이외에도 생성시각(Created Time)보다 수정시각(Modified Time)이 빠른 경우를 다음과 같이 선택하였다.

상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,

"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.


이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.


Full Path 에서 Volume letter

-E: USB 의미

-v: network drive 의미


저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #29, artifacts of cloud services on PC  (0) 2018.10.23
data leakage case #27, 28, folder and file opening history  (0) 2018.10.13
data leakage case #24, network drive  (0) 2018.10.13
data leakage case #23, artifacts of renamed files  (1) 2018.10.13
data leakage case #22, All about mounted devices, USB, CD-ROM etc  (0) 2018.09.18

티스토리툴바