data leakage case #30, cloud storage forensic for Google Drive
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5065 "구글 드라이브 아티팩트 (Google Drive Artifacts)"
http://jeongchul.tistory.com/346 "클라우드 스토리지 포렌식"
#30. What files were deleted from Google Drive?
Find the filename and modified timestamp of the file.
[Hint: Find a transaction log file of Google Drive.]
1. snapshot.db, sync_config.db 분석
2. sync_log.log 분석
1. Snapshot.db, sync_config.db 분석
snapshot.db : 클라우드/로컬 파일 정보, 파일 간의 연관 관계
sync_config.db : 이메일 주소, 설치 경로, 소프트웨어 버전
가. %UserProfile%\AppData\Local\Google\Drive 에서 파일을 확인한다.
Winhex 상에서 "?" 는 복구 가능성이 존재하는 파일이며, "x" 는 삭제 이후 파일이 덮어 씌워져서 복구가 불가능한 것이다.
snapshot.db, sync_config.db는 용의자가 안티포렌식 행위를 하며 삭제한 것으로 보인다.
2. Sync_log.log 분석
sync_log.log : 동기화 로그
가. sync_log.log 를 sublime text 3 를 통해 열 경우 다음과 같다.
나. 이 로그들 중, 대소문자 구분없이 "delete" 가 있는 라인을 delete.txt 로 따로 추출한다.
delete.txt다. delete.txt 를 분석하면 다음의 로그가 눈에 띄는데, 해당 로그를 통해 어떠한 파일들이 삭제되었는지 알 수 있다.
common.aggregator:114 --------> Received event RawEvent(DELETE, path=u'\\\\?\\C:\\Users\\informant\\Google Drive\\{파일명}
How to get started with Drive, do_u_wanna_build_a_snow_man.mp3, happy_holiday.jpg 3가지의 파일이 삭제되었다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
|---|---|
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
data leakage case #29, artifacts of cloud services on PC
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/3584 "클라우드 서비스 흔적 – Cloud Spy"
https://www.researchgate.net/publication/257687927_Digital_Forensic_Investigation_of_Cloud_Storage_Services
#29. Find traces related to cloud services on PC.
(Service name, log files...)
1. 프로그램 설치 경로 확인
2. 링크파일 분석
3. 클라우스 서비스 별 파일 경로를 통해 확인
1. 프로그램 설치 경로 확인
다음과 같이 Google Drive와 관련된 흔적을 찾을 수 있다.
2. 링크파일(.lnk) 분석
Google Drive와 iCloud관련 흔적을 발견할 수 있다.
3. 클라우드 서비스 별 파일 경로를 통해 확인
다음은 클라우드 서비스 디지털 포렌식 수사 관련 파일이다.
DigitalForensicInvestigationofCloudStorageServices.pdf
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
|---|---|
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
| data leakage case #24, network drive (0) | 2018.10.13 |
data leakage case #27, 28, folder and file opening history
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/607 "LNK 파일 포렌식 분석"
https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"
#27. List all directories that were traversed in the company’s network drive.
#28. List all files that were opened in the company’s network drive.
1. ShellBagsExplorer 를 통한 폴더 열람 기록 분석 (이전 글 data leakage case #23 참고.)
2. 링크파일(.lnk) 분석
3. 점프목록(jumpList) 분석
1. ShellBagsExplorer 를 이용한 분석
다음과 같이 네트워크 드라이브의 '폴더' 열람 기록을 확인할 수 있다.
2. 링크파일(.lnk) 분석
네트워크 드라이브 상에서 최근에 실행된, 4개의 '문서' 파일을 확인할 수 있다.
3. 점프목록(jumpList) 파일 분석
네트워크 드라이브의 Volume Letter는 'V:'이며 관련 흔적은 다음과 같다.
V:\Secret Project Data\final
V:\Secret Project Data\final\[secret_project]_final_meeting.pptx
이 중 마지막 수정시각(Modified Time) 보다 생성시각(Created Time) 이 이전인 경우를 다음과 같이 선택하였다.
상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,
"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.
이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
|---|---|
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
| data leakage case #24, network drive (0) | 2018.10.13 |
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
