hacking case #31, converting image & analysis at SANS SIFT Workstation
forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
https://www.youtube.com/watch?reload=9&v=LITxwxdvuWo "SANS SIFT - Mount E01 Forensic Image Using imageMounter.py script"
https://medium.com/@cloudyforensics/sans-sift-workstation-761b3dc395bc "SANS SIFT Workstation"
#31. Perform a Anti-Virus check. Are there any viruses on the computer?
1. Converting image
2. Antivirus scan
1. Converting image
Virtual machine 에서 해당 이미지를 분석하기 위하여 다음과 같이 이미지를 변환한다.(dd -> vmdk)
[주의] E01 -> vmdk 는 되지 않으므로, E01 -> (FTK imager) -> DD ->(qemu) -> vmdk 과정을 거쳐야 한다.
$qemu-img convert [image1] [image2] .. [image N] -O vmdk [output.vmdk]
vmdk 파일을 virtual machine 에 import 하여 antivirus 스캔을 진행하려고 하였으나, 많은 antivirus 프로그램들이 해당 WinXP 버전에서 dll 에러가 뜨는 등의 문제가 발견되어, SANS-SIFT 에 직접 마운트하여 스캔을 진행하였다.
2. Antivirus Scan
가. image mount
$imageMounter.py -e [image] [mounted path] // -e 는 E01 옵션이다.
나. scan
$clamscan -ri [mounted path] // -r : recursive, -i : print only infected file
다. unmount
$umount [mounted path]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #28~30, Recycle Bin in WinXP (INFO2) (0) | 2019.02.10 |
|---|---|
| hacking case #27, yahoo email artifacts (0) | 2019.02.10 |
| hacking case #26, pattern matching using grep (keyword search) (0) | 2019.02.10 |
| hacking case #23~25 network packet analysis (0) | 2019.02.08 |
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
