data leakage case #58~60, Summary
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
leakage-answers.pdf#58 Create a detailed timeline of data leakage processes.
2015-03-22: Normal business works (installation and configuration of apps)
2015-03-23: Transferring sample confidential data through the internet
2015-03-24: Copying confidential data to storage devices
2015-03-25: Trying to do anti-forensics and take storage devices out
#59 List and explain methodologies of data leakage performed by the suspect.
1. Network Transmission
1.1. E-mail
-2015-03-23 15:19 – space_and_earth.mp4
-2015-03-23 16:38 – links of shared files in cloud storage service
1.2. Cloud storage services
-2015-03-23 16:32 – happy_holiday.jpg, do_u_wanna_build_a_snow_man.mp3
2. Storage Device
2.1. USB flash drive
-2015-03-24 09:58 ~ 10:00 – winter_whether_advisory.zip and so on
-The suspect formatted the partition, but copied files exist in unused area (비할당 영역 복구)
2.2. CD-R
2015-03-24 16:54 ~ 16:58 – 17 files (e.g., winter_whether_advisory.zip and so on)
-The suspect deleted the confidential files, but the files exist in unused area (비할당 영역 복구)
#60 Create a visual diagram for a summary of results.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#56 Recover hidden files from the CD-R ‘RM#3’.
How to determine proper filenames of the original files prior to renaming tasks?
Winhex file carving 기능을 이용하여 파일을 복구한다.
1. [File] - [Open] 을 하여 Raw image 를 선택한다.(E01은 Winhex 파일 복구 기능 제한)
2. 다음과 같이 삭제된 파일들을 확인 할 수 있다. "X" 표시되어 있는 파일들은 Recover/copy 를 하여도 내용이 복구가 되지 않는다.
3. [Specialist] - [Interpret Image File As Disk]
4. [Tools]-[Disk Tools]-[File Recovery by Type] 이 기능은 signature 기반 복구기법이다.
5. 다음과 같이 의심이 되는 유형의 파일들인 사진, 문서, 이메일, 음악/동영상에 대해서만 복구를 진행하였다.
6. 다음과 같이 파일 복구가 완료되었다는 메세지가 뜬다.
7. 복구된 파일들을 확인할 수 있으나, 원래 이름은 알 수가 없다.(Signature 기반 복구이기 때문.)
8. ppt, pptx, xls, docx 문서를 열람하여 내용을 확인하고, 해당 내용으로부터 파일 이름을 유추할 수 있다.
[pptx] 열람 예시
#57 What actions were performed for anti-forensics on CD-R ‘RM#3’?
다음과 같이 X표시가 된 파일들을 삭제하였다.
혐의자는 CD에서 기밀파일들을 삭제하고, 보안검색대를 통과하여 해당 파일들을 복구함으로써 기밀정보를 유출하려고 하였다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
#53 Recover deleted files from USB drive ‘RM#2’.
1. Directory entry 분석
2. Winhex file carving 기능을 이용한 파일 복구
1. Directory entry 분석
가. Raw image 를 다시 FTK Imager 로 불러왔을 때 다음과 같이, Directory entry 흔적을 발견할 수 있다.
나. HxD 에서 Hex-Value : 78467846, ASCII : xFxF (Directory entry signature) 를 검색하여 흔적을 찾는다.
다. 검색된 Directory 의 일부는 다음과 같다.
Directory entry 해석에 대한 자세한 내용은 아래의 링크를 참조한다.
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
RM2_USB 가 포맷되기 이전의 폴더와 파일 구조는 다음과 같다.
이전글 data leakage case #25, #26, folder and file opening history의 ShellBag 기록을 참고하여 폴더 구조를 보다 정확히 파악할 수 있다.
\DESIGN\winter_storm.amr
\DESIGN\winter_whether_advisory.zip
\pricing decision\my_favorite_cars.db
\pricing decision\my_favorite_movies.7z
\pricing decision\new_years_day.jpg
\pricing decision\super_bowl.avi
\PROGRESS\my_friends.svg
\PROGRESS\my_smartphone.png
\PROGRESS\new_year_calendar.one
\PROPOSAL\a_gift_from_you.gif
\PROPOSAL\landscape.png
\technical review\diary_#1d.txt
\technical review\diary_#1p.txt
\technical review\diary_#2d.txt
\technical review\diary_#2p.txt
\technical review\diary_#3d.txt
\technical review\diary_#3p.txt
위의 파일들은 이전 글 data leakage case #52, anti-forensic 에서 PC 에서 확인한 삭제된 파일과 같다.
2. Winhex file carving 기능을 이용한 파일 복구
가. Winhex 를 통해 Raw image 를 불러온다.(E01은 Winhex 파일보구 기능 에러 발생)
나. [Specialist]-[Interpret Image File As Disk] 클릭
다. [Tools]-[Disk Tools]-[File Recovery by Type] 클릭 후, 카빙 옵션에서 그림, 문서, 동영상 등을 선택한다.
라. 다음과 같이 옵션에서 선택된 타입의 파일들이 복구되었다.
여기서 선택된 바와 같이 수상한 파일 3가지를 발견할 수 있다.
마. 각각의 파일의 내용을 확인하면 다음과 같다.
#54 What actions were performed for anti-forensics on USB drive ‘RM#2’?
[Hint: this can be inferred from the results of Question 53.]
Some directory entries prior to the quick format do exist in unallocated areas.
Directory entry 가 unallocated areas(비할당 영역)에서 발견된 것으로 미루어 보아, "USB 빠른 포맷" 기능을 사용한 것을 알 수 있다.
USB 빠른 포맷시에는 모든 영역을 포맷하는 것이 아니라, 파일시스템만 재설치하는 것으로 비할당 영역에서 이전의 데이터를 발견 할 수 있다.
#55 What files were copied from PC to USB drive ‘RM#2’?
#52, 53에서 확인한 삭제된 파일들 중 winter_whether_advisory.zip 파일을 점프목록의 RM#2의 경로에서 확인할 수 있으며, 수정시각이 생성시각 보다 이전이므로 해당 파일들이 PC에서 USB로복사된 것임을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #52, anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf
#52 What actions were performed for anti-forensics on PC at the last day ‘2015-03-25’?
이전글 data leakage case #10, 11 application installed/execution logs 참고.
NTFS Log Tracker 이용하여, $LogFile, $UsnJrnl 분석하여, 특정 기간 동안 일어난 파일 시스템 이벤트를 분석한다.
1. $LogFile : 트랙젝션 로그
볼륨 용량에 따라 크기가 달라질 수 있지만 기본적으로는 최대 64M 이하임
64M 기준, 일반적인 컴퓨터 활동(웹서핑, 문서 작업…)을 할 경우, 2~3 시간 정도의 로그가 남음
2. $UsnJrnl : 변경 로그
컴퓨터를 계속 사용할 경우, 1~2일 정도의 로그가 남음
규칙적으로 쓸 경우(하루 8시간), 4~5일 정도의 로그가 남음
기존에 설치된 프로그램 흔적 중에서 CCleaner 등이 있었으므로, UsnJrnl.csv 에서 Eraser, CCleaner 등의 안티 포렌식 프로그램 설치 시간 후로 행위를 분석한다.
[Eraser 설치 흔적]
[CCleaner 설치 흔적]
[CCleaner 안티 포렌식 행위]
프리패치, 이메일, 임시파일 등과 관련된 흔적을 삭제한다.
[Eraser 의 안티포렌식 행위]
Chrysanthemum.jpg 를 삭제하는데 있어서, 여러번 쓰레기 파일로 덮어씌워 복구가 불가능하도록 한다음 삭제한다.
위와 같이 Eraser 를 이용해 삭제된 파일들은 다음과 같다.
Chrysanthemum.jpg
Desert.jpg
Hydrangeas.jpg
IE11-Windows6.1-x64-en-us.exe
Jellyfish.jpg
Koala.jpg
Lighthouse.jpg
Penguins.jpg
Tulips.jpg
이외에도 윈도우 삭제 기능을 이용하여 삭제한 파일들은 다음과 같다.
a_gift_from_you.gif
landscape.png
my_favorite_cars.db
my_favorite_movies.7z
new_years_day.jpg
super_bowl.avi
diary_#1d.txt
diary_#1p.txt
diary_#2d.txt
diary_#2p.txt
diary_#3d.txt
diary_#3p.txt
winter_storm.amr
winter_whether_advisory.zip
my_friends.svg
my_smartphone.png
new_year_calendar.one
[윈도우 삭제 기능을 이용해 삭제한 파일들]
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
data leakage case #51, Recycle Bin
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#51. Examine ‘Recycle Bin’ data in PC.
$RecycleBin 의 S-1-5-21-{사용자별 id} 폴더 내 파일을 분석한다.
- $I~ : 삭제된 파일의 META 정보(삭제된 시간 등)
- $R~: 실제로 삭제된 파일
2. "$I~" 파일을 클릭하였을 때 Winhex 화면 하단에서 삭제된 파일의 FullPath 를 알 수 있다. 또한, $I 파일의 생성시각이 해당파일이 삭제된 시간이다.
Winhex의 시간값은 host pc의 timezone이 적용된 값이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
|---|---|
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
data leakage case #47~50, Volume Shadow Copies(VSC)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#47. Where are Volume Shadow Copies stored? When were they created?
1. WinHex 를 통해 다음의 경로에서 확인
Volume Shadow File Path : \System Volume Information\
2. 다음의 명령어를 통해 시간 정보 확인(HOST PC의 timezone이 적용)
vsadmin list shadows /for={마운트된 이미지 경로}:
2015-03-25 23:57:27 (UTC+9) 즉, 2015-03-25 10:57:27(UTC-4)에 해당 볼륨 섀도 파일이 생성되었음을 알 수 있다.
#48. Find traces related to Google Drive service in Volume Shadow Copy. What are the differences
between the current system image (of Question 29 ~ 31) and its VSC?
ShadowCopyView 를 이용하면, 다음의 3가지 파일을 찾을 수 있다. 이전의 글 #29~31 에서 현재 시스템에서는 sync_log.log, snapshot.db 파일이 안티포렌식을 위해 삭제되어 분석에 제한이 있었으나, 볼륨섀도우를 통해 해당 파일들을 복구할 수 있다.
\User\informant\AppData\Local\Google\Drive\user_default\sync_log.log
\User\informant\AppData\Local\Google\Drive\user_default\snapshot.db [deleted]
\User\informant\AppData\Local\Google\Drive\user_default\sync_config.db [deleted]
ShadowCopyView의 시간값은 HOST PC의 timezone이 적용된 값이다.
2015-03-23 16:02:51(UTC-4)에 관련 파일들이 생성되었고, 2015-03-23 16:47:55(UTC-4)에 수정되었음을 알 수 있다.
#49. What files were deleted from Google Drive?
Find deleted records of cloud_entry table inside snapshot.db from VSC.
(Just examine the SQLite database only. Let us suppose that a text based log file was wiped.)
[Hint: DDL of cloud_entry table is as follows.]
CREATE TABLE cloud_entry
(doc_id TEXT, filename TEXT, modified INTEGER, created INTEGER, acl_role INTEGER,
doc_type INTEGER, removed INTEGER, size INTEGER, checksum TEXT, shared INTEGER,
resource_type TEXT, PRIMARY KEY (doc_id));
SQLite-Deleted-Records-Parser (Python2)을 이용한다.
https://github.com/mdegrazia/SQLite-Deleted-Records-Parser
http://az4n6.blogspot.com/2013/11/python-parser-to-recover-deleted-sqlite.html
snapshot.db 를 input 으로 하여 report.tsv 를 다음과 같이 생성한다.
[Usage]
[Deleted Files]
C:\Users\Informant\Google Drive\happy_holiday.jpg
C:\Users\Informant\Google Drive\do_u_wanna_build_a_snow_man.mp3
#50. Why can’t we find Outlook’s e-mail data in Volume Shadow Copy?
Outlook OST files were excluded by the following snapshot configuration.
[snapshot configuration registry value]
HKLM/SYSTEM/ControlSet###/Control/BackupRestore/FilesNotToSnapshot
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
|---|---|
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
data leakage case #42~46, Windows Search Database, windows.edb
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식 (Windows Search Forensics)"
http://moaistory.blogspot.com/2018/ "WinSearchDBAnalyzer"
#42. Was the ‘Windows Search and Indexing’ function enabled? How can you identify it?
If it was enabled, what is a file path of the ‘Windows Search’ index database?
HKLM\SYSTEM\ControlSet001\services\WSearch (value : DelayedAutoStart ) 값이 1일 경우 윈도우 검색 및 색인 기능이 활성화 된 것이다.
When a service is configured for a delayed automatic start, a DWORD registry value is present under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\<service name>. It's named DelayedAutoStart and it's set to 1, along with a Start value of 2—which is the normal value for automatic start.2011. 7. 21.
HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows (value: FileName) 값이 windows.edb 의 경로이다.
#43 What kinds of data were stored in Windows Search database?
Windows.edb (=Windows Search Database) 란?
윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있으며, Extensible Storage Engine (ESE) Database(.edb) 파일 중 하나이며, 경로는 다음과 같다.
Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb
다음과 같이 사용자의 기본 폴더, 이메일, 인터넷 히스토리등의 개략적인 정보가 확인가능하다.
- Internet Explorer History
- Microsoft Outlook
- Files in %UserProfile% (Excluding ‘AppData’ directory)
- Start Menu (/ProgramData/Microsoft/Windows/Start Menu/)
- Sticky Note
#44 ~ 46
[도구명] WinSearchDBAnalyzer
[프로그램 다운로드 경로] http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
다음과 같이 windows.edb 를 불러온다.
[open] 클릭 후에는, 어떠한 정보들을 파싱할 것인지에 대해 선택할 수 있는데 기본 설정으로 진행한다.
파싱 이후에, 다음 그림과 같이 windows.edb 에 저장되는 정보들의 종류를 알 수 있다.
이중 ALL(464) 를 누른 후, System_ItemPathDisplay 컬럼를 기준으로 정렬을 하여 필요한 정보들을 분석한다. System_Search_AutoSummary 컬럼 또한 분석에 유의미한 정보(이메일 내용, PPT 내용 등 해당파일의 Contents)를 가지고 있다.
#44 Find traces of Internet Explorer usage stored in Windows Search database.
(It should be considered only during a date range between 2015-03-22 and 2015-03-23.)
#45 List the e-mail communication stored in Windows Search database.
(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)
#46 List files and directories related to Windows Desktop stored in Windows Search database.
(Windows Desktop directory: \Users\informant\Desktop\)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
|---|---|
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
| data leakage case #37, print forensic (0) | 2019.01.24 |
data leakage case #40, #41 sticky notes
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#40. Where are Sticky Note files located?
\Users\informant\AppData\Roaming\Microsoft\Sticky Notes\StickyNotes.snt
#41. Identify notes stored in the Sticky Note file.
WinHex 를 통해 해당 경로의 StickyNotes.snt 파일을 추출한 뒤, Structured Storage Viewer 를 통해 내용을 확인한다.
[프로그램 다운로드 링크] https://www.mitec.cz/ssv.html
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
|---|---|
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
| data leakage case #37, print forensic (0) | 2019.01.24 |
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
data leakage case #38, #39, Thumbcache
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/2092 "썸네일 포렌식 분석 (Thumbnail Forensics)"
#38. Where are ‘Thumbcache’ files located?
\Users\informant\AppData\Local\Microsoft\Windows\Explorer\thumbcache_[size].db
#39. Identify traces related to confidential files stored in Thumbcache. (Include ‘256’ only)
Thumbnail Database Viewer 를 통해 thumbcache_256.db 를 열면 다음과 같은 썸네일을 확인 할 수 있다.
[프로그램 다운로드 링크] http://www.itsamples.com/thumbnail-database-viewer.html
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
|---|---|
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
| data leakage case #37, print forensic (0) | 2019.01.24 |
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
| data leakage case#35, cd (opened files) (0) | 2019.01.24 |
data leakage case #37, print forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#37. How and when did the suspect print a resignation file?
1. XPS 파일 확인
2. 레지스트리 분석(설치된 프린터 드라이버 확인)
1. XPS 파일 확인
이전글 data leakage case #36, DOCX file searching 에서 resignation file 의 경로 \Users\Informant\Desktop\Resignation_Letter_(Iaman_Informant).docx 를 알 수 있으며, WinHex 에서 해당경로로 이동하게 되면 .xps 파일이 존재한다.
WinHex 의 시간값은 HOST-PC 의 time zone(UTC+9)이므로, 분석 대상 PC 의 time zone(UTC-4) 를 적용하기 위하여, -13을 해준다.
Created : 2015-03-25 오전 11:28:33, Modified : 2015-03-25 오전 11:28:34
[참고] https://m.blog.naver.com/PostView.nhn?blogId=nuwanamj&logNo=10028598176&proxyReferer=https%3A%2F%2Fwww.google.com%2F
XPS 파일이란?
XPS(XML Paper Specification)는 장치에 상관없이 동일한 모습의 문서를 표시하기 위한 표준이다. 이는 MS가 제시하는 거창한 비전이고 개인적인 생각으로는 PDF가 움켜쥐고 있는 문서관리 시장을 겨냥한 것이라고 생각한다. 기본적으로 PDF와 같은 개념이며, 링크와 보안면에서 다소 향상된 기능을 제공한다고 한다. 중요한 것은 .NET Framework 을 이용해서 프로그래밍이 가능하며, .NET Framework 3.0 이상이 설치되면 자동으로 Viewer가 제공된다는 것이다.
XPS는 여러가지 형태의 문서를 각 타입의 애플리케이션이 표시하는 모습과 거의 같은 모습으로 표시할 수 있다. 이는 다양한 타입으로 저장되어 있는 문서를 XPS 타입으로 변환해서 저장할 경우, 사용자들이 단순히 XPS Viewer만 가지고 있으면 모든 문서를 볼 수 있다는 이야기이다. 여러가지 타입의 문서를 XPS로 문서로 변환하는 방법은 1) 사용자의 동작에 의한 명시적인 변환 방법. 2) Office 2007 의 기능을 이용한 프로그래밍 적인 방법이 있다.
XPS Document Writer 란?
XPS Document Writer는 .NET Framework 3.0을 설치할때 함께 설치되는 프린터 드라이버이다. 유틸리티가 아니라 프린터 드라이버이므로 어떠한 타입의 파일이라도 XPS로 저장할 수 있다. 종이로 인쇄되는 것이 아니라 XPS 파일로 인쇄되는 것이다. 이 방법은 사용자가 항상 XPS Document Writer로 인쇄를 해야만 해당 파일이 XPS로 변환되는 단점이 있다.
2. 레지스트리 분석
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\ 경로를 보면 사용한 프린터 드라이버 목록을 볼 수 있다.
3. 결론
1과 2의 결과를 종합하여, 용의자는 2015-03-25 오전 11:28:34 경 XPS 포맷으로 해당 문건을 출력하였다고 생각할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
|---|---|
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
| data leakage case#35, cd (opened files) (0) | 2019.01.24 |
| data leakage case #34, cd (copied files) (0) | 2019.01.24 |
