c0msherl0ck.github.io

data leakage case #3, OS Information

Forensic/CFReDS-Data Leakage Case2018. 8. 10. 19:15

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #3. Explain installed OS information in detail. (OS name, install date, registered owner…)

윈도우 OS 정보는 다음 레지스트리 경로에 있다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion Tools 1) 이미지 내 레지스트리 획득 : Arsenal Image mounter, WinHex 2) 레지스트리 분석 : registry explorer 1. Arsenal Image Mounter 로 이미지 파일 마운팅하기

가. 왼쪽 하단의 mount image 를 클릭하고, 이미지 파일을 선택한다.

나. 다음과 같이 이미지 파일이 마운트 되어 있는 것을 확인할 수 있다.

이미지 마운팅을 하지 않고, Winhex 에서 이미지를 바로 연후, [Specialist]-[Interpret Image File As Disk]를 하여도 된다. 2. Winhex 에서 레지스트리 파일 추출하기

가. [Tools] - [Open disk]

나. Arsenal Virtual 클릭

다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 레지스트리 파일을 추출하여야 한다. [참고] "(FP) 레지스트리 포렌식과 보안 (Registry Forensics)"의 레지스트리 획득 부분 https://github.com/proneer/Slides/tree/master/Windows

레지스트리 파일은 hive 파일 형태로 저장되어 있으며, 윈도우 7의 레지스트리 파일 경로는 다음과 같다. 1) 운영체제 하이브 파일 위치 : %SystemRoot%\System32\Config 2) %UserProfile% 목록 확인 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 3) HKLM 레지스트리 경로별 하이브 파일 위치

HEKY_LOCAL_MACHINE\COMPONENTS : %SystemRoot%\System32\Config\COMPONENTS HEKY_LOCAL_MACHINE\SYSTEM : %SystemRoot%\System32\Config\SYSTEM HEKY_LOCAL_MACHINE\SAM : %SystemRoot%\System32\Config\SAM HEKY_LOCAL_MACHINE\SECURITY : %SystemRoot%\System32\Config\SECURITY HEKY_LOCAL_MACHINE\SOFTWARE : %SystemRoot%\System32\Config\SOFTWARE

4) USER 관련 레지스트리 경로별 하이브 파일 위치

HKEY_USERS\<SID of local service account> %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT HKEY_USERS\<SID of network service account> %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT HKEY_USERS\<SID of username> %UserProfile%\NTUSER.DAT HKEY_USERS\<SID of username>_Classes %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat HKEY_USERS\.DEFAULT %SystemRoot%\System32\Config\DEFAULT


라. WinHex 에서 partition#2의 \Windows\System32\config 에서 components, system, sam, security, software 5개의 파일을 추출한다. [우클릭] - [Recover/Copy]

3. Registry Explorer 를 통한 분석

가. [File] - [Load offline hive] 나. Winhex 에서 추출한 5개의 파일을 로드한다. 다. 5개의 파일이 다 로드되면 다음과 같다. 라. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 경로의 registry 를 보면 다음과 같다. ProductName : Windows 7 Ultimate InstallDate : 1427034866(unix time) = Sunday, March 22nd 2015, 14:34:26 (GMT+0) RegisteredOwner : informant

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #6, all accounts list  (0) 2018.08.10
data leakage case #5, computer name  (0) 2018.08.10
data leakage case #4, timezone  (0) 2018.08.10
data leakage case #2, partition info  (0) 2018.08.10
data leakage case #1,hash values of image file  (0) 2018.08.10

data leakage case #2, partition info

Forensic/CFReDS-Data Leakage Case2018. 8. 10. 18:01

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#2. Identify the partition information of PC image.

파티션 정보는 MBR 에 저장되어 있다.(MBR 에 저장이 안되어있다면, 이것은 GPT 방식으로 GUID Partition Tables 를 보아야 한다.)

MBR 에서 파티션 정보 찾는 방법은 이전 포스팅 "MBR, partition table info 파티션 테이블 정보 찾기"를 참고한다.

http://holywaterkim.tistory.com/3?category=810422


** bytes per sector = 512 (properties 에서 확인가능)


partition#1

Boot flag : 80 / File system type : 07 / LBA : 00 00 08 00 / SIZE : 00 03 20 00

부트 파티션 / NTFS / 시작위치 : 0x8000 sector(=0x1000000 bytes) / 크기 : 0x32000 sector(=0x6400000 bytes = 104857600 bytes = 100MB)


partition#2

Boot flag : 00 / File system type : 07 / LBA : 00 03 28 00 / SIZE : 02 7C D0 00

부트 파티션 아님 / NTFS / 시작위치 : 0x32800 sector(=0x6500000 bytes) / 크기 : 0x27CD000 sector (=0x4F9A00000 bytes = 21367881728 bytes = 20378MB)

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #6, all accounts list  (0) 2018.08.10
data leakage case #5, computer name  (0) 2018.08.10
data leakage case #4, timezone  (0) 2018.08.10
data leakage case #3, OS Information  (0) 2018.08.10
data leakage case #1,hash values of image file  (0) 2018.08.10

data leakage case #1,hash values of image file

Forensic/CFReDS-Data Leakage Case2018. 8. 10. 12:35

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #1. What are the hash values (MD5 & SHA-1) of all images?

Does the acquisition and verification hash value match?

.dd : raw image, 실제와 똑같은 비트 단위로 복사 .e01 : encase image, Encase 프로그램으로 압축파일 형식으로 이미징. Stored(Verification) Hash is the acquisition hash (hash of the data in the .dd .ad1 .e01 etc image file) 이미지 내에 stored(verification) hash value 존재(이미지 파일을 만들 때, 소스에 대한 해시값을 계산하여 이미지 파일 내에 저장) Computed Hash is the hash of the original data in the source medium (hard disk etc). source(이미지 파일, 물리적 디스크 등)에 대한 hash value 를 계산하는 것 이미지 파일에 대해 분석을 할 경우 이미지 파일이 위변조 되지 않아야 한다. 이를 검증하기 위한 방법으로 stored hash value 와 computed hash value 의 일치여부를 비교하는 것이다.

Personal Computer (PC) – 'EnCase' Image pc.E01, pc.E02, pc.E03, pc.E04 을 다운로드 받고, 다음의 과정을 진행한다. Tool : FTK imager 4.2.0


1.[File] - [Add Evidence Item]

2. Image file 선택

3. E01 만 로드하면 된다.(E01, E02, E03, E04 는 분할 압축 파일 개념과 유사하다.)


4. [File] - [Verify drive/image] 를 통해 이미지 해시를 검증할 수 있다.

** [View] - [Properties] 를 통해, 이미지의 stored verification hashes를 비롯한 여러 속성을 확인할 수 있다. 언제) acquire date : 2015-04-23 어디서) acquired on OS : Windows 7 누가) examiner : dForensic_Team

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #6, all accounts list  (0) 2018.08.10
data leakage case #5, computer name  (0) 2018.08.10
data leakage case #4, timezone  (0) 2018.08.10
data leakage case #3, OS Information  (0) 2018.08.10
data leakage case #2, partition info  (0) 2018.08.10

티스토리툴바