data leakage case #27, 28, folder and file opening history
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/607 "LNK 파일 포렌식 분석"
https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"
#27. List all directories that were traversed in the company’s network drive.
#28. List all files that were opened in the company’s network drive.
1. ShellBagsExplorer 를 통한 폴더 열람 기록 분석 (이전 글 data leakage case #23 참고.)
2. 링크파일(.lnk) 분석
3. 점프목록(jumpList) 분석
1. ShellBagsExplorer 를 이용한 분석
다음과 같이 네트워크 드라이브의 '폴더' 열람 기록을 확인할 수 있다.
2. 링크파일(.lnk) 분석
네트워크 드라이브 상에서 최근에 실행된, 4개의 '문서' 파일을 확인할 수 있다.
3. 점프목록(jumpList) 파일 분석
네트워크 드라이브의 Volume Letter는 'V:'이며 관련 흔적은 다음과 같다.
V:\Secret Project Data\final
V:\Secret Project Data\final\[secret_project]_final_meeting.pptx
이 중 마지막 수정시각(Modified Time) 보다 생성시각(Created Time) 이 이전인 경우를 다음과 같이 선택하였다.
상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,
"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.
이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
---|---|
data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
data leakage case #24, network drive (0) | 2018.10.13 |
data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |