data leakage case #47~50, Volume Shadow Copies(VSC)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#47. Where are Volume Shadow Copies stored? When were they created?
1. WinHex 를 통해 다음의 경로에서 확인
Volume Shadow File Path : \System Volume Information\
2. 다음의 명령어를 통해 시간 정보 확인(HOST PC의 timezone이 적용)
vsadmin list shadows /for={마운트된 이미지 경로}:
2015-03-25 23:57:27 (UTC+9) 즉, 2015-03-25 10:57:27(UTC-4)에 해당 볼륨 섀도 파일이 생성되었음을 알 수 있다.
#48. Find traces related to Google Drive service in Volume Shadow Copy. What are the differences
between the current system image (of Question 29 ~ 31) and its VSC?
ShadowCopyView 를 이용하면, 다음의 3가지 파일을 찾을 수 있다. 이전의 글 #29~31 에서 현재 시스템에서는 sync_log.log, snapshot.db 파일이 안티포렌식을 위해 삭제되어 분석에 제한이 있었으나, 볼륨섀도우를 통해 해당 파일들을 복구할 수 있다.
\User\informant\AppData\Local\Google\Drive\user_default\sync_log.log
\User\informant\AppData\Local\Google\Drive\user_default\snapshot.db [deleted]
\User\informant\AppData\Local\Google\Drive\user_default\sync_config.db [deleted]
ShadowCopyView의 시간값은 HOST PC의 timezone이 적용된 값이다.
2015-03-23 16:02:51(UTC-4)에 관련 파일들이 생성되었고, 2015-03-23 16:47:55(UTC-4)에 수정되었음을 알 수 있다.
#49. What files were deleted from Google Drive?
Find deleted records of cloud_entry table inside snapshot.db from VSC.
(Just examine the SQLite database only. Let us suppose that a text based log file was wiped.)
[Hint: DDL of cloud_entry table is as follows.]
CREATE TABLE cloud_entry
(doc_id TEXT, filename TEXT, modified INTEGER, created INTEGER, acl_role INTEGER,
doc_type INTEGER, removed INTEGER, size INTEGER, checksum TEXT, shared INTEGER,
resource_type TEXT, PRIMARY KEY (doc_id));
SQLite-Deleted-Records-Parser (Python2)을 이용한다.
https://github.com/mdegrazia/SQLite-Deleted-Records-Parser
http://az4n6.blogspot.com/2013/11/python-parser-to-recover-deleted-sqlite.html
snapshot.db 를 input 으로 하여 report.tsv 를 다음과 같이 생성한다.
[Usage]
[Deleted Files]
C:\Users\Informant\Google Drive\happy_holiday.jpg
C:\Users\Informant\Google Drive\do_u_wanna_build_a_snow_man.mp3
#50. Why can’t we find Outlook’s e-mail data in Volume Shadow Copy?
Outlook OST files were excluded by the following snapshot configuration.
[snapshot configuration registry value]
HKLM/SYSTEM/ControlSet###/Control/BackupRestore/FilesNotToSnapshot
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
|---|---|
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
data leakage case #42~46, Windows Search Database, windows.edb
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식 (Windows Search Forensics)"
http://moaistory.blogspot.com/2018/ "WinSearchDBAnalyzer"
#42. Was the ‘Windows Search and Indexing’ function enabled? How can you identify it?
If it was enabled, what is a file path of the ‘Windows Search’ index database?
HKLM\SYSTEM\ControlSet001\services\WSearch (value : DelayedAutoStart ) 값이 1일 경우 윈도우 검색 및 색인 기능이 활성화 된 것이다.
When a service is configured for a delayed automatic start, a DWORD registry value is present under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\<service name>. It's named DelayedAutoStart and it's set to 1, along with a Start value of 2—which is the normal value for automatic start.2011. 7. 21.
HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows (value: FileName) 값이 windows.edb 의 경로이다.
#43 What kinds of data were stored in Windows Search database?
Windows.edb (=Windows Search Database) 란?
윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있으며, Extensible Storage Engine (ESE) Database(.edb) 파일 중 하나이며, 경로는 다음과 같다.
Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb
다음과 같이 사용자의 기본 폴더, 이메일, 인터넷 히스토리등의 개략적인 정보가 확인가능하다.
- Internet Explorer History
- Microsoft Outlook
- Files in %UserProfile% (Excluding ‘AppData’ directory)
- Start Menu (/ProgramData/Microsoft/Windows/Start Menu/)
- Sticky Note
#44 ~ 46
[도구명] WinSearchDBAnalyzer
[프로그램 다운로드 경로] http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
다음과 같이 windows.edb 를 불러온다.
[open] 클릭 후에는, 어떠한 정보들을 파싱할 것인지에 대해 선택할 수 있는데 기본 설정으로 진행한다.
파싱 이후에, 다음 그림과 같이 windows.edb 에 저장되는 정보들의 종류를 알 수 있다.
이중 ALL(464) 를 누른 후, System_ItemPathDisplay 컬럼를 기준으로 정렬을 하여 필요한 정보들을 분석한다. System_Search_AutoSummary 컬럼 또한 분석에 유의미한 정보(이메일 내용, PPT 내용 등 해당파일의 Contents)를 가지고 있다.
#44 Find traces of Internet Explorer usage stored in Windows Search database.
(It should be considered only during a date range between 2015-03-22 and 2015-03-23.)
#45 List the e-mail communication stored in Windows Search database.
(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)
#46 List files and directories related to Windows Desktop stored in Windows Search database.
(Windows Desktop directory: \Users\informant\Desktop\)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
|---|---|
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
| data leakage case #37, print forensic (0) | 2019.01.24 |
data leakage case #40, #41 sticky notes
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#40. Where are Sticky Note files located?
\Users\informant\AppData\Roaming\Microsoft\Sticky Notes\StickyNotes.snt
#41. Identify notes stored in the Sticky Note file.
WinHex 를 통해 해당 경로의 StickyNotes.snt 파일을 추출한 뒤, Structured Storage Viewer 를 통해 내용을 확인한다.
[프로그램 다운로드 링크] https://www.mitec.cz/ssv.html
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
|---|---|
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
| data leakage case #37, print forensic (0) | 2019.01.24 |
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
