data leakage case #52, anti-forensic

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf

#52 What actions were performed for anti-forensics on PC at the last day ‘2015-03-25’?

---

이전글 data leakage case #10, 11 application installed/execution logs 참고.

NTFS Log Tracker 이용하여, $LogFile, $UsnJrnl 분석하여, 특정 기간 동안 일어난 파일 시스템 이벤트를 분석한다.

1. $LogFile : 트랙젝션 로그

볼륨 용량에 따라 크기가 달라질 수 있지만 기본적으로는 최대 64M 이하임

64M 기준, 일반적인 컴퓨터 활동(웹서핑, 문서 작업…)을 할 경우, 2~3 시간 정도의 로그가 남음

2. $UsnJrnl : 변경 로그

컴퓨터를 계속 사용할 경우, 1~2일 정도의 로그가 남음

규칙적으로 쓸 경우(하루 8시간), 4~5일 정도의 로그가 남음

기존에 설치된 프로그램 흔적 중에서 CCleaner 등이 있었으므로, UsnJrnl.csv 에서 Eraser, CCleaner 등의 안티 포렌식 프로그램 설치 시간 후로 행위를 분석한다.

[Eraser 설치 흔적]

[CCleaner 설치 흔적]

[CCleaner 안티 포렌식 행위]

프리패치, 이메일, 임시파일 등과 관련된 흔적을 삭제한다.

[Eraser 의 안티포렌식 행위]

Chrysanthemum.jpg 를 삭제하는데 있어서, 여러번 쓰레기 파일로 덮어씌워 복구가 불가능하도록 한다음 삭제한다.

위와 같이 Eraser 를 이용해 삭제된 파일들은 다음과 같다.

Chrysanthemum.jpg

Desert.jpg

Hydrangeas.jpg

IE11-Windows6.1-x64-en-us.exe

Jellyfish.jpg

Koala.jpg

Lighthouse.jpg

Penguins.jpg

Tulips.jpg

이외에도 윈도우 삭제 기능을 이용하여 삭제한 파일들은 다음과 같다.

a_gift_from_you.gif

landscape.png

my_favorite_cars.db

my_favorite_movies.7z

new_years_day.jpg

super_bowl.avi

diary_#1d.txt

diary_#1p.txt

diary_#2d.txt

diary_#2p.txt

diary_#3d.txt

diary_#3p.txt

winter_storm.amr

winter_whether_advisory.zip

my_friends.svg

my_smartphone.png

new_year_calendar.one

[윈도우 삭제 기능을 이용해 삭제한 파일들]