science of deduction :: data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic

data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic

Forensic/CFReDS-Data Leakage Case2019. 1. 30. 22:18

뷰어
댓글로
이전글
다음글

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"

#53 Recover deleted files from USB drive ‘RM#2’.

1. Directory entry 분석

2. Winhex file carving 기능을 이용한 파일 복구

1. Directory entry 분석

가. Raw image 를 다시 FTK Imager 로 불러왔을 때 다음과 같이, Directory entry 흔적을 발견할 수 있다.

나. HxD 에서 Hex-Value : 78467846, ASCII : xFxF (Directory entry signature) 를 검색하여 흔적을 찾는다.

다. 검색된 Directory 의 일부는 다음과 같다.

Directory entry 해석에 대한 자세한 내용은 아래의 링크를 참조한다.

https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"

RM2_USB 가 포맷되기 이전의 폴더와 파일 구조는 다음과 같다.

이전글 data leakage case #25, #26, folder and file opening history의 ShellBag 기록을 참고하여 폴더 구조를 보다 정확히 파악할 수 있다.

\DESIGN\winter_storm.amr

\DESIGN\winter_whether_advisory.zip

\pricing decision\my_favorite_cars.db

\pricing decision\my_favorite_movies.7z

\pricing decision\new_years_day.jpg

\pricing decision\super_bowl.avi

\PROGRESS\my_friends.svg

\PROGRESS\my_smartphone.png

\PROGRESS\new_year_calendar.one

\PROPOSAL\a_gift_from_you.gif

\PROPOSAL\landscape.png

\technical review\diary_#1d.txt

\technical review\diary_#1p.txt

\technical review\diary_#2d.txt

\technical review\diary_#2p.txt

\technical review\diary_#3d.txt

\technical review\diary_#3p.txt

위의 파일들은 이전 글 data leakage case #52, anti-forensic 에서 PC 에서 확인한 삭제된 파일과 같다.

2. Winhex file carving 기능을 이용한 파일 복구

가. Winhex 를 통해 Raw image 를 불러온다.(E01은 Winhex 파일보구 기능 에러 발생)

나. [Specialist]-[Interpret Image File As Disk] 클릭

다. [Tools]-[Disk Tools]-[File Recovery by Type] 클릭 후, 카빙 옵션에서 그림, 문서, 동영상 등을 선택한다.

라. 다음과 같이 옵션에서 선택된 타입의 파일들이 복구되었다.

여기서 선택된 바와 같이 수상한 파일 3가지를 발견할 수 있다.

마. 각각의 파일의 내용을 확인하면 다음과 같다.

#54 What actions were performed for anti-forensics on USB drive ‘RM#2’?

[Hint: this can be inferred from the results of Question 53.]

Some directory entries prior to the quick format do exist in unallocated areas.

Directory entry 가 unallocated areas(비할당 영역)에서 발견된 것으로 미루어 보아, "USB 빠른 포맷" 기능을 사용한 것을 알 수 있다.

USB 빠른 포맷시에는 모든 영역을 포맷하는 것이 아니라, 파일시스템만 재설치하는 것으로 비할당 영역에서 이전의 데이터를 발견 할 수 있다.

#55 What files were copied from PC to USB drive ‘RM#2’?

#52, 53에서 확인한 삭제된 파일들 중 winter_whether_advisory.zip 파일을 점프목록의 RM#2의 경로에서 확인할 수 있으며, 수정시각이 생성시각 보다 이전이므로 해당 파일들이 PC에서 USB로복사된 것임을 알 수 있다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #58~60, Summary (1)	2019.02.04
data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0)	2019.02.03
data leakage case #52, anti-forensic (0)	2019.01.30
data leakage case #51, Recycle Bin (0)	2019.01.30
data leakage case #47~50, Volume Shadow Copies(VSC) (0)	2019.01.30

일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

c0msherl0ck.github.io

data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

최근에 올라온 글

최근에 달린 댓글

공지사항

글 보관함

링크

티스토리툴바