hacking case #1, Image hash
https://www.cfreds.nist.gov/Hacking_Case.html
#1. What is the image hash? Does the acquisition and verification hash match?
FTK Imager 의 "verify Drive/Image" 클릭한 후, E01 이미지를 선택한다.
E01 이미지에는 stored verification hash 가 포함되어 있으나, DD 이미지에는 포함되어 있지 않다.
computed hash = acquisition hash
stored verification hash = verification hash
[Verify Drive/Image]
[E01 image verify] "Match"
[DD image verify]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
data leakage case #58~60, Summary
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
leakage-answers.pdf#58 Create a detailed timeline of data leakage processes.
2015-03-22: Normal business works (installation and configuration of apps)
2015-03-23: Transferring sample confidential data through the internet
2015-03-24: Copying confidential data to storage devices
2015-03-25: Trying to do anti-forensics and take storage devices out
#59 List and explain methodologies of data leakage performed by the suspect.
1. Network Transmission
1.1. E-mail
-2015-03-23 15:19 – space_and_earth.mp4
-2015-03-23 16:38 – links of shared files in cloud storage service
1.2. Cloud storage services
-2015-03-23 16:32 – happy_holiday.jpg, do_u_wanna_build_a_snow_man.mp3
2. Storage Device
2.1. USB flash drive
-2015-03-24 09:58 ~ 10:00 – winter_whether_advisory.zip and so on
-The suspect formatted the partition, but copied files exist in unused area (비할당 영역 복구)
2.2. CD-R
2015-03-24 16:54 ~ 16:58 – 17 files (e.g., winter_whether_advisory.zip and so on)
-The suspect deleted the confidential files, but the files exist in unused area (비할당 영역 복구)
#60 Create a visual diagram for a summary of results.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#56 Recover hidden files from the CD-R ‘RM#3’.
How to determine proper filenames of the original files prior to renaming tasks?
Winhex file carving 기능을 이용하여 파일을 복구한다.
1. [File] - [Open] 을 하여 Raw image 를 선택한다.(E01은 Winhex 파일 복구 기능 제한)
2. 다음과 같이 삭제된 파일들을 확인 할 수 있다. "X" 표시되어 있는 파일들은 Recover/copy 를 하여도 내용이 복구가 되지 않는다.
3. [Specialist] - [Interpret Image File As Disk]
4. [Tools]-[Disk Tools]-[File Recovery by Type] 이 기능은 signature 기반 복구기법이다.
5. 다음과 같이 의심이 되는 유형의 파일들인 사진, 문서, 이메일, 음악/동영상에 대해서만 복구를 진행하였다.
6. 다음과 같이 파일 복구가 완료되었다는 메세지가 뜬다.
7. 복구된 파일들을 확인할 수 있으나, 원래 이름은 알 수가 없다.(Signature 기반 복구이기 때문.)
8. ppt, pptx, xls, docx 문서를 열람하여 내용을 확인하고, 해당 내용으로부터 파일 이름을 유추할 수 있다.
[pptx] 열람 예시
#57 What actions were performed for anti-forensics on CD-R ‘RM#3’?
다음과 같이 X표시가 된 파일들을 삭제하였다.
혐의자는 CD에서 기밀파일들을 삭제하고, 보안검색대를 통과하여 해당 파일들을 복구함으로써 기밀정보를 유출하려고 하였다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
