data leakage case #32, cd artifacts

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"

#32. What a method (or software) was used for burning CD-R?

---

어떠한 Third Party App 의 흔적도 발견할 수 없다.

1. [USB 플래시 드라이브에서처럼 사용] 흔적 : 레지스트리 분석

2. [CD/DVD 플레이어에서 사용] 흔적 : 시스템 이벤트 로그(ID : 133), 임시파일(DAT#####.tmp, FILXXXXX.tmp, POSTxxxxx.tmp) 흔적 분석

1. [USB 플래시 드라이브에서처럼 사용] 흔적

---

HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\Drives\Volume{Volume_GUID}\*

HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\StagingInfo\Volume{Volume_GUID}\*

HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{Volume_GUID}\*

위의 레지스트리 경로를 따라 레코딩 흔적을 파악한 결과, 다음과 같이 아무런 흔적도 발견할 수 없었다.

2. [CD/DVD 플레이어에서 사용] 흔적

---

가. %UserProfile%\AppData\Local\Microsoft\Windows\Burn\Burn(#) 에서의 임시파일을 조사한다.

다음과 같이 흔적을 찾을 수 없다.

나. Log Parser Studio 를 통해, 시스템 이벤트 로그(ID : 133)를 분석한다.

1) 프로그램 실행 후, 다음의 버튼을 클릭한다.

2) Add Files 를 통해 모든 이벤트 로그를 불러온다.

3) Log Type : EVTLOG 를 설정한다.

4) 다음과 같은 쿼리를 질의하여 해당결과를 얻는다. 질의 실행 아이콘은 ! 이다.

다. NTFS_log_tracker 를 이용한 DAT#####.tmp, FILXXXXX.tmp, POSTxxxxx.tmp 흔적 분석

임시 폴더(Burn)에 파일이 복사되고 광학 미디어에 하드 링크가 추가된 상태에서 [디스크 굽기]를 실행하면 다음의 흔적이 남는다.

- 임시 폴더(Burn)의 파일을 “%UserProfile@\AppData\Loca\Temp\DATXXXXX.tmp” 복사

- Temp 폴더에 관련 정보 파일 “FILXXXXX.tmp”, “POSTxxxxx.tmp” 생성

- 시스템 이벤트에 로그 기록

- 작업 완료 후 임시 폴더(Burn) 하위 파일 삭제

1) NTFS_LOG_TRACKER 를 통해 분석된 결과 db 파일을 SQLite 를 통해 분석한다.

다음과 같이 Temp 폴더에 DAT######.tmp, FIL######.tmp, POST######.tmp 이 있던 흔적을 발견할 수 있다.

2) 실제로 WinHex 에서 추출하여 tmp 파일의 확장자를 확인 후 복구하려 하였으나, 해당 임시파일들은 이미 삭제되어 남아있지 않았다.