data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
#53 Recover deleted files from USB drive ‘RM#2’.
1. Directory entry 분석
2. Winhex file carving 기능을 이용한 파일 복구
1. Directory entry 분석
가. Raw image 를 다시 FTK Imager 로 불러왔을 때 다음과 같이, Directory entry 흔적을 발견할 수 있다.
나. HxD 에서 Hex-Value : 78467846, ASCII : xFxF (Directory entry signature) 를 검색하여 흔적을 찾는다.
다. 검색된 Directory 의 일부는 다음과 같다.
Directory entry 해석에 대한 자세한 내용은 아래의 링크를 참조한다.
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
RM2_USB 가 포맷되기 이전의 폴더와 파일 구조는 다음과 같다.
이전글 data leakage case #25, #26, folder and file opening history의 ShellBag 기록을 참고하여 폴더 구조를 보다 정확히 파악할 수 있다.
\DESIGN\winter_storm.amr
\DESIGN\winter_whether_advisory.zip
\pricing decision\my_favorite_cars.db
\pricing decision\my_favorite_movies.7z
\pricing decision\new_years_day.jpg
\pricing decision\super_bowl.avi
\PROGRESS\my_friends.svg
\PROGRESS\my_smartphone.png
\PROGRESS\new_year_calendar.one
\PROPOSAL\a_gift_from_you.gif
\PROPOSAL\landscape.png
\technical review\diary_#1d.txt
\technical review\diary_#1p.txt
\technical review\diary_#2d.txt
\technical review\diary_#2p.txt
\technical review\diary_#3d.txt
\technical review\diary_#3p.txt
위의 파일들은 이전 글 data leakage case #52, anti-forensic 에서 PC 에서 확인한 삭제된 파일과 같다.
2. Winhex file carving 기능을 이용한 파일 복구
가. Winhex 를 통해 Raw image 를 불러온다.(E01은 Winhex 파일보구 기능 에러 발생)
나. [Specialist]-[Interpret Image File As Disk] 클릭
다. [Tools]-[Disk Tools]-[File Recovery by Type] 클릭 후, 카빙 옵션에서 그림, 문서, 동영상 등을 선택한다.
라. 다음과 같이 옵션에서 선택된 타입의 파일들이 복구되었다.
여기서 선택된 바와 같이 수상한 파일 3가지를 발견할 수 있다.
마. 각각의 파일의 내용을 확인하면 다음과 같다.
#54 What actions were performed for anti-forensics on USB drive ‘RM#2’?
[Hint: this can be inferred from the results of Question 53.]
Some directory entries prior to the quick format do exist in unallocated areas.
Directory entry 가 unallocated areas(비할당 영역)에서 발견된 것으로 미루어 보아, "USB 빠른 포맷" 기능을 사용한 것을 알 수 있다.
USB 빠른 포맷시에는 모든 영역을 포맷하는 것이 아니라, 파일시스템만 재설치하는 것으로 비할당 영역에서 이전의 데이터를 발견 할 수 있다.
#55 What files were copied from PC to USB drive ‘RM#2’?
#52, 53에서 확인한 삭제된 파일들 중 winter_whether_advisory.zip 파일을 점프목록의 RM#2의 경로에서 확인할 수 있으며, 수정시각이 생성시각 보다 이전이므로 해당 파일들이 PC에서 USB로복사된 것임을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
data leakage case #58~60, Summary (1) | 2019.02.04 |
---|---|
data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
data leakage case #52, anti-forensic (0) | 2019.01.30 |
data leakage case #51, Recycle Bin (0) | 2019.01.30 |
data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |