data leakage case #33, cd burning time

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"

https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned

https://askubuntu.com/questions/359264/how-to-open-udf-volume

#33. When did the suspect burn CD-R?

---

1. 레지스트리 분석

2. 시스템 이벤트 로그 확인(EventID=133)

3. 임시파일 흔적 확인

4. 파일시스템 분석

5. CD 파일 확인

5. 결론

1. 레지스트리 분석

---

HKU\informant\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\ 

> If the last selection is burning type 1(USB), ‘DefaultToMastered’ value will be 0. 

> If the last selection is burning type 2(CD/DVD), ‘DefaultToMastered’ value will be 1.

위의 레지스트리를 확인한 결과는 아래와 같다.

Registry explorer의 Last write timestamp 시간값은 UTC+0이다.

그러므로 2015-03-24 16:53:16(UTC-4)에 CD를 burning type 1, 'USB 플래시 드라이브에서처럼 사용'을 선택한 것을 알 수 있다.

2. 시스템 이벤트 로그 확인

---

Log Parser Studio를 통해 이벤트 로그 133을 확인한다.

해당 로그는 CD가 Burning될때 생성되는 로그이다.

Log Parser Studio의 시간값은 현재 분석하는 HOST-PC 의 time zone 이 적용된 것이다.

HOST-PC(UTC+9), 분석 대상 PC(UTC-4) 이므로, 위의 시간값에서 -13 을 해주어야 한다.

2015-03-24 15:47:47(UTC-4)

2015-03-24 15:56:11(UTC-4)

2015-03-24 16:24:46(UTC-4)

2015-03-24 16:41:21(UTC-4)

그러므로 위의 시각에 CD를 구운 것을 알 수 있다.

3. 임시파일 흔적 확인

---

NTFS Log Tracker를 통해 임시파일과 관련된 파일시스템 로그를 확인한다.

DAT#####.tmp, FIL#####.tmp, POST#####.tmp

NTFS Log Tracker의 시간값은 분석대상 PC의 timezone이 적용된 것이다.

해당 임시파일들은 CD를 구울 때 생성되기 때문에 위의 시각에 CD를 구운 것으로 보인다.

3. 파일시스템 분석

---

https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned

ISO 9660 : CD/DVD 플레이어에서 사용

UDF : USB 플래시 드라이브에서처럼 사용

이 부분은 아직 추가적인 학습이 필요하다.

UDF (Universal Disk Format, http://www.osta.org/specs/pdf/udf260.pdf) 

> Timestamps stored in descriptors of UDF (ECMA 167 1/7.3) 

> ex) file offset 0x1017A of RM#3 

        

> DF 07 (2015), 03 (03), 18 (24), 10 (16), 35 (53), 11 (17)… 

> 2015-03-24 16:53:17 – Format time of UDF

4. CD 파일 확인

---

https://askubuntu.com/questions/359264/how-to-open-udf-volume

https://hackerfordream.tistory.com/entry/Mac-Time-%ED%99%95%EC%9D%B8

가. CD 이미지를 마운트한다.(format type : udf / iso9660)

나. 파일의 MAC time 을 확인한다.

CD 이미지를 마운트한 SANS-SIFT workstation의 timezone은 UTC+0 이다.

M : Modification time(수정 시간) ls -l 옵션으로 확인 가능. vi편집기로 편집하거나 생성시 나타나는 시간

A : Access time(접근 시간) ls -ul 옵션으로 확인 가능. cat, echo 등으로 해당 파일 읽었을 때 나타나는 시간

C : metadata change time(속성 변경 시간) ls -cl 옵션으로 확인 가능. chmod, chown 등으로 파일 속성을 변경하였을 때 나타나는 시간

다. stat 명령어를 통해 파일별 세부시각을 확인한다.

2015-03-24 16:57(UTC-4) 시각에 해당 파일들이 생성되었음을 알 수 있다.

5. 결론

---

위에서의 결과를 종합하면 다음과 같다.

2015-03-24 15:47:47(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:47:47(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:49:26(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:01(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:11(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:11(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:57:07(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:24:46(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:24:46(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:25:16(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:41:21(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:41:21(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:43:10(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:53:16(UTC-4) / 레지스트리 / Select Burning Type Option 1 (USB), USB 플래시 드라이브처럼 사용 선택

2015-03-24 16:53:17(UTC-4) / 파일시스템 / 포맷시간 확인

2015-03-24 16:57(UTC-4) / MAC time / Koala.jpg, Penguins.jpg, Tulips.jpg 파일 생성