data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
#53 Recover deleted files from USB drive ‘RM#2’.
1. Directory entry 분석
2. Winhex file carving 기능을 이용한 파일 복구
1. Directory entry 분석
가. Raw image 를 다시 FTK Imager 로 불러왔을 때 다음과 같이, Directory entry 흔적을 발견할 수 있다.
나. HxD 에서 Hex-Value : 78467846, ASCII : xFxF (Directory entry signature) 를 검색하여 흔적을 찾는다.
다. 검색된 Directory 의 일부는 다음과 같다.
Directory entry 해석에 대한 자세한 내용은 아래의 링크를 참조한다.
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
RM2_USB 가 포맷되기 이전의 폴더와 파일 구조는 다음과 같다.
이전글 data leakage case #25, #26, folder and file opening history의 ShellBag 기록을 참고하여 폴더 구조를 보다 정확히 파악할 수 있다.
\DESIGN\winter_storm.amr
\DESIGN\winter_whether_advisory.zip
\pricing decision\my_favorite_cars.db
\pricing decision\my_favorite_movies.7z
\pricing decision\new_years_day.jpg
\pricing decision\super_bowl.avi
\PROGRESS\my_friends.svg
\PROGRESS\my_smartphone.png
\PROGRESS\new_year_calendar.one
\PROPOSAL\a_gift_from_you.gif
\PROPOSAL\landscape.png
\technical review\diary_#1d.txt
\technical review\diary_#1p.txt
\technical review\diary_#2d.txt
\technical review\diary_#2p.txt
\technical review\diary_#3d.txt
\technical review\diary_#3p.txt
위의 파일들은 이전 글 data leakage case #52, anti-forensic 에서 PC 에서 확인한 삭제된 파일과 같다.
2. Winhex file carving 기능을 이용한 파일 복구
가. Winhex 를 통해 Raw image 를 불러온다.(E01은 Winhex 파일보구 기능 에러 발생)
나. [Specialist]-[Interpret Image File As Disk] 클릭
다. [Tools]-[Disk Tools]-[File Recovery by Type] 클릭 후, 카빙 옵션에서 그림, 문서, 동영상 등을 선택한다.
라. 다음과 같이 옵션에서 선택된 타입의 파일들이 복구되었다.
여기서 선택된 바와 같이 수상한 파일 3가지를 발견할 수 있다.
마. 각각의 파일의 내용을 확인하면 다음과 같다.
#54 What actions were performed for anti-forensics on USB drive ‘RM#2’?
[Hint: this can be inferred from the results of Question 53.]
Some directory entries prior to the quick format do exist in unallocated areas.
Directory entry 가 unallocated areas(비할당 영역)에서 발견된 것으로 미루어 보아, "USB 빠른 포맷" 기능을 사용한 것을 알 수 있다.
USB 빠른 포맷시에는 모든 영역을 포맷하는 것이 아니라, 파일시스템만 재설치하는 것으로 비할당 영역에서 이전의 데이터를 발견 할 수 있다.
#55 What files were copied from PC to USB drive ‘RM#2’?
#52, 53에서 확인한 삭제된 파일들 중 winter_whether_advisory.zip 파일을 점프목록의 RM#2의 경로에서 확인할 수 있으며, 수정시각이 생성시각 보다 이전이므로 해당 파일들이 PC에서 USB로복사된 것임을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #52, anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf
#52 What actions were performed for anti-forensics on PC at the last day ‘2015-03-25’?
이전글 data leakage case #10, 11 application installed/execution logs 참고.
NTFS Log Tracker 이용하여, $LogFile, $UsnJrnl 분석하여, 특정 기간 동안 일어난 파일 시스템 이벤트를 분석한다.
1. $LogFile : 트랙젝션 로그
볼륨 용량에 따라 크기가 달라질 수 있지만 기본적으로는 최대 64M 이하임
64M 기준, 일반적인 컴퓨터 활동(웹서핑, 문서 작업…)을 할 경우, 2~3 시간 정도의 로그가 남음
2. $UsnJrnl : 변경 로그
컴퓨터를 계속 사용할 경우, 1~2일 정도의 로그가 남음
규칙적으로 쓸 경우(하루 8시간), 4~5일 정도의 로그가 남음
기존에 설치된 프로그램 흔적 중에서 CCleaner 등이 있었으므로, UsnJrnl.csv 에서 Eraser, CCleaner 등의 안티 포렌식 프로그램 설치 시간 후로 행위를 분석한다.
[Eraser 설치 흔적]
[CCleaner 설치 흔적]
[CCleaner 안티 포렌식 행위]
프리패치, 이메일, 임시파일 등과 관련된 흔적을 삭제한다.
[Eraser 의 안티포렌식 행위]
Chrysanthemum.jpg 를 삭제하는데 있어서, 여러번 쓰레기 파일로 덮어씌워 복구가 불가능하도록 한다음 삭제한다.
위와 같이 Eraser 를 이용해 삭제된 파일들은 다음과 같다.
Chrysanthemum.jpg
Desert.jpg
Hydrangeas.jpg
IE11-Windows6.1-x64-en-us.exe
Jellyfish.jpg
Koala.jpg
Lighthouse.jpg
Penguins.jpg
Tulips.jpg
이외에도 윈도우 삭제 기능을 이용하여 삭제한 파일들은 다음과 같다.
a_gift_from_you.gif
landscape.png
my_favorite_cars.db
my_favorite_movies.7z
new_years_day.jpg
super_bowl.avi
diary_#1d.txt
diary_#1p.txt
diary_#2d.txt
diary_#2p.txt
diary_#3d.txt
diary_#3p.txt
winter_storm.amr
winter_whether_advisory.zip
my_friends.svg
my_smartphone.png
new_year_calendar.one
[윈도우 삭제 기능을 이용해 삭제한 파일들]
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
data leakage case #51, Recycle Bin
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#51. Examine ‘Recycle Bin’ data in PC.
$RecycleBin 의 S-1-5-21-{사용자별 id} 폴더 내 파일을 분석한다.
- $I~ : 삭제된 파일의 META 정보(삭제된 시간 등)
- $R~: 실제로 삭제된 파일
2. "$I~" 파일을 클릭하였을 때 Winhex 화면 하단에서 삭제된 파일의 FullPath 를 알 수 있다. 또한, $I 파일의 생성시각이 해당파일이 삭제된 시간이다.
Winhex의 시간값은 host pc의 timezone이 적용된 값이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
|---|---|
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
