data leakage case #27, 28, folder and file opening history

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/607 "LNK 파일 포렌식 분석"

https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"

#27. List all directories that were traversed in the company’s network drive.

#28. List all files that were opened in the company’s network drive.

---

1. ShellBagsExplorer 를 통한 폴더 열람 기록 분석 (이전 글 data leakage case #23 참고.)

2. 링크파일(.lnk) 분석

3. 점프목록(jumpList) 분석

1. ShellBagsExplorer 를 이용한 분석

---

다음과 같이 네트워크 드라이브의 '폴더' 열람 기록을 확인할 수 있다.

2. 링크파일(.lnk) 분석

---

네트워크 드라이브 상에서 최근에 실행된, 4개의 '문서' 파일을 확인할 수 있다.

3. 점프목록(jumpList) 파일 분석

---

네트워크 드라이브의 Volume Letter는 'V:'이며 관련 흔적은 다음과 같다.

V:\Secret Project Data\final

V:\Secret Project Data\final\[secret_project]_final_meeting.pptx

이 중 마지막 수정시각(Modified Time) 보다 생성시각(Created Time) 이 이전인 경우를 다음과 같이 선택하였다.

상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,

"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.

이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.