data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

#56 Recover hidden files from the CD-R ‘RM#3’.   

How to determine proper filenames of the original files prior to renaming tasks?

---

Winhex file carving 기능을 이용하여 파일을 복구한다.

1. [File] - [Open] 을 하여 Raw image 를 선택한다.(E01은 Winhex 파일 복구 기능 제한)

2. 다음과 같이 삭제된 파일들을 확인 할 수 있다. "X" 표시되어 있는 파일들은 Recover/copy 를 하여도 내용이 복구가 되지 않는다.

3. [Specialist] - [Interpret Image File As Disk]

4. [Tools]-[Disk Tools]-[File Recovery by Type] 이 기능은 signature 기반 복구기법이다.

5. 다음과 같이 의심이 되는 유형의 파일들인 사진, 문서, 이메일, 음악/동영상에 대해서만 복구를 진행하였다.

6. 다음과 같이 파일 복구가 완료되었다는 메세지가 뜬다.

7. 복구된 파일들을 확인할 수 있으나, 원래 이름은 알 수가 없다.(Signature 기반 복구이기 때문.)

8. ppt, pptx, xls, docx 문서를 열람하여 내용을 확인하고, 해당 내용으로부터 파일 이름을 유추할 수 있다.

[pptx] 열람 예시

#57 What actions were performed for anti-forensics on CD-R ‘RM#3’?

---

다음과 같이 X표시가 된 파일들을 삭제하였다.

혐의자는 CD에서 기밀파일들을 삭제하고, 보안검색대를 통과하여 해당 파일들을 복구함으로써 기밀정보를 유출하려고 하였다.