data leakage case #30, cloud storage forensic for Google Drive
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5065 "구글 드라이브 아티팩트 (Google Drive Artifacts)"
http://jeongchul.tistory.com/346 "클라우드 스토리지 포렌식"
#30. What files were deleted from Google Drive?
Find the filename and modified timestamp of the file.
[Hint: Find a transaction log file of Google Drive.]
1. snapshot.db, sync_config.db 분석
2. sync_log.log 분석
1. Snapshot.db, sync_config.db 분석
snapshot.db : 클라우드/로컬 파일 정보, 파일 간의 연관 관계
sync_config.db : 이메일 주소, 설치 경로, 소프트웨어 버전
가. %UserProfile%\AppData\Local\Google\Drive 에서 파일을 확인한다.
Winhex 상에서 "?" 는 복구 가능성이 존재하는 파일이며, "x" 는 삭제 이후 파일이 덮어 씌워져서 복구가 불가능한 것이다.
snapshot.db, sync_config.db는 용의자가 안티포렌식 행위를 하며 삭제한 것으로 보인다.
2. Sync_log.log 분석
sync_log.log : 동기화 로그
가. sync_log.log 를 sublime text 3 를 통해 열 경우 다음과 같다.
나. 이 로그들 중, 대소문자 구분없이 "delete" 가 있는 라인을 delete.txt 로 따로 추출한다.
delete.txt다. delete.txt 를 분석하면 다음의 로그가 눈에 띄는데, 해당 로그를 통해 어떠한 파일들이 삭제되었는지 알 수 있다.
common.aggregator:114 --------> Received event RawEvent(DELETE, path=u'\\\\?\\C:\\Users\\informant\\Google Drive\\{파일명}
How to get started with Drive, do_u_wanna_build_a_snow_man.mp3, happy_holiday.jpg 3가지의 파일이 삭제되었다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
|---|---|
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
