data leakage case #36, DOCX file searching
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#36. Identify all timestamps related to a resignation file in Windows Desktop.
[Hint: the resignation file is a DOCX file in NTFS file system.]
1. docx 확장자 파일 검색한다.
다음과 같이 Resignation_Letter_(Iaman_informant).docx 파일을 확인할 수 있다.
2. 파일명을 기준으로 timestamp, event를 재검색한다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
|---|---|
| data leakage case #37, print forensic (0) | 2019.01.24 |
| data leakage case#35, cd (opened files) (0) | 2019.01.24 |
| data leakage case #34, cd (copied files) (0) | 2019.01.24 |
| data leakage case #33, cd burning time (0) | 2019.01.24 |
data leakage case#35, cd (opened files)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#35. What files were opened from CD-R?
[이전 글 참고] data leakage case #25, #26 "folder and file opening history"
1. LNK 분석
2. JumpList 분석
3. ShellBag 분석
1. LNK 분석
LinkParser 를 통해 다음과 같이, D 드라이브가 CD-ROM Drive 인것을 알 수 있으며(Drive type : CD-ROM Drive), 열어본 파일 목록 또한 확인가능하다.
2. JumpList 분석
JumpListView를 통한 분석을 통해, D 드라이브에서 실행된 파일 및 폴더목록을 다음과 같이 확인할 수 있다.
3. ShellBag 분석
다음과 같이 D 드라이브(CD mount volume)에서 파일 및 폴더 열람 기록을 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #37, print forensic (0) | 2019.01.24 |
|---|---|
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
| data leakage case #34, cd (copied files) (0) | 2019.01.24 |
| data leakage case #33, cd burning time (0) | 2019.01.24 |
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
data leakage case #34, cd (copied files)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"
#34. What files were copied from PC to CD-R?
1. Burn 폴더 확인
2. 파일시스템 로그 확인
1. Burn 폴더 확인
\Users\informant\AppData\Local\Microsoft\Windows\Burn\Burn\
위의 경로에 임시파일이 저장되는데, WinHex 로 확인시 다음과 같이 어떠한 파일 흔적도 남아 있지 않다.
2. 파일시스템 로그 확인
파일경로에 \Users\informant\AppData\Local\Microsoft\Windows\Burn\Burn\ 가 포함된 모든 파일들의 로그를 확인해보면 다음과 같다.
해당 파일시스템 기록은 해당파일들이 CD 에서 복사 되기 전, Burn 폴더에 임시적으로 생성된 기록이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #36, DOCX file searching (0) | 2019.01.24 |
|---|---|
| data leakage case#35, cd (opened files) (0) | 2019.01.24 |
| data leakage case #33, cd burning time (0) | 2019.01.24 |
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
data leakage case #33, cd burning time
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"
https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned
https://askubuntu.com/questions/359264/how-to-open-udf-volume
#33. When did the suspect burn CD-R?
1. 레지스트리 분석
2. 시스템 이벤트 로그 확인(EventID=133)
3. 임시파일 흔적 확인
4. 파일시스템 분석
5. CD 파일 확인
5. 결론
1. 레지스트리 분석
HKU\informant\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\
> If the last selection is burning type 1(USB), ‘DefaultToMastered’ value will be 0.
> If the last selection is burning type 2(CD/DVD), ‘DefaultToMastered’ value will be 1.
위의 레지스트리를 확인한 결과는 아래와 같다.
Registry explorer의 Last write timestamp 시간값은 UTC+0이다.
그러므로 2015-03-24 16:53:16(UTC-4)에 CD를 burning type 1, 'USB 플래시 드라이브에서처럼 사용'을 선택한 것을 알 수 있다.
2. 시스템 이벤트 로그 확인
Log Parser Studio를 통해 이벤트 로그 133을 확인한다.
해당 로그는 CD가 Burning될때 생성되는 로그이다.
Log Parser Studio의 시간값은 현재 분석하는 HOST-PC 의 time zone 이 적용된 것이다.
HOST-PC(UTC+9), 분석 대상 PC(UTC-4) 이므로, 위의 시간값에서 -13 을 해주어야 한다.
2015-03-24 15:47:47(UTC-4)
2015-03-24 15:56:11(UTC-4)
2015-03-24 16:24:46(UTC-4)
2015-03-24 16:41:21(UTC-4)
그러므로 위의 시각에 CD를 구운 것을 알 수 있다.
3. 임시파일 흔적 확인
NTFS Log Tracker를 통해 임시파일과 관련된 파일시스템 로그를 확인한다.
DAT#####.tmp, FIL#####.tmp, POST#####.tmp
NTFS Log Tracker의 시간값은 분석대상 PC의 timezone이 적용된 것이다.
해당 임시파일들은 CD를 구울 때 생성되기 때문에 위의 시각에 CD를 구운 것으로 보인다.
3. 파일시스템 분석
https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned
ISO 9660 : CD/DVD 플레이어에서 사용
UDF : USB 플래시 드라이브에서처럼 사용
이 부분은 아직 추가적인 학습이 필요하다.
UDF (Universal Disk Format, http://www.osta.org/specs/pdf/udf260.pdf)
> Timestamps stored in descriptors of UDF (ECMA 167 1/7.3)
> ex) file offset 0x1017A of RM#3
> DF 07 (2015), 03 (03), 18 (24), 10 (16), 35 (53), 11 (17)…
> 2015-03-24 16:53:17 – Format time of UDF
4. CD 파일 확인
https://askubuntu.com/questions/359264/how-to-open-udf-volume
https://hackerfordream.tistory.com/entry/Mac-Time-%ED%99%95%EC%9D%B8
가. CD 이미지를 마운트한다.(format type : udf / iso9660)
나. 파일의 MAC time 을 확인한다.
CD 이미지를 마운트한 SANS-SIFT workstation의 timezone은 UTC+0 이다.
M : Modification time(수정 시간) ls -l 옵션으로 확인 가능. vi편집기로 편집하거나 생성시 나타나는 시간
A : Access time(접근 시간) ls -ul 옵션으로 확인 가능. cat, echo 등으로 해당 파일 읽었을 때 나타나는 시간
C : metadata change time(속성 변경 시간) ls -cl 옵션으로 확인 가능. chmod, chown 등으로 파일 속성을 변경하였을 때 나타나는 시간
다. stat 명령어를 통해 파일별 세부시각을 확인한다.
2015-03-24 16:57(UTC-4) 시각에 해당 파일들이 생성되었음을 알 수 있다.
5. 결론
위에서의 결과를 종합하면 다음과 같다.
2015-03-24 15:47:47(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:47:47(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:49:26(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:56:01(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:56:11(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:56:11(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)
2015-03-24 15:57:07(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:24:46(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:24:46(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:25:16(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:41:21(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:41:21(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:43:10(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)
2015-03-24 16:53:16(UTC-4) / 레지스트리 / Select Burning Type Option 1 (USB), USB 플래시 드라이브처럼 사용 선택
2015-03-24 16:53:17(UTC-4) / 파일시스템 / 포맷시간 확인
2015-03-24 16:57(UTC-4) / MAC time / Koala.jpg, Penguins.jpg, Tulips.jpg 파일 생성
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case#35, cd (opened files) (0) | 2019.01.24 |
|---|---|
| data leakage case #34, cd (copied files) (0) | 2019.01.24 |
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
data leakage case #32, cd artifacts
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"
#32. What a method (or software) was used for burning CD-R?
어떠한 Third Party App 의 흔적도 발견할 수 없다.
1. [USB 플래시 드라이브에서처럼 사용] 흔적 : 레지스트리 분석
2. [CD/DVD 플레이어에서 사용] 흔적 : 시스템 이벤트 로그(ID : 133), 임시파일(DAT#####.tmp, FILXXXXX.tmp, POSTxxxxx.tmp) 흔적 분석
1. [USB 플래시 드라이브에서처럼 사용] 흔적
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\Drives\Volume{Volume_GUID}\*
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\StagingInfo\Volume{Volume_GUID}\*
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{Volume_GUID}\*
위의 레지스트리 경로를 따라 레코딩 흔적을 파악한 결과, 다음과 같이 아무런 흔적도 발견할 수 없었다.
2. [CD/DVD 플레이어에서 사용] 흔적
가. %UserProfile%\AppData\Local\Microsoft\Windows\Burn\Burn(#) 에서의 임시파일을 조사한다.
다음과 같이 흔적을 찾을 수 없다.
나. Log Parser Studio 를 통해, 시스템 이벤트 로그(ID : 133)를 분석한다.
1) 프로그램 실행 후, 다음의 버튼을 클릭한다.
2) Add Files 를 통해 모든 이벤트 로그를 불러온다.
3) Log Type : EVTLOG 를 설정한다.
4) 다음과 같은 쿼리를 질의하여 해당결과를 얻는다. 질의 실행 아이콘은 ! 이다.
다. NTFS_log_tracker 를 이용한 DAT#####.tmp, FILXXXXX.tmp, POSTxxxxx.tmp 흔적 분석
2) 실제로 WinHex 에서 추출하여 tmp 파일의 확장자를 확인 후 복구하려 하였으나, 해당 임시파일들은 이미 삭제되어 남아있지 않았다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #34, cd (copied files) (0) | 2019.01.24 |
|---|---|
| data leakage case #33, cd burning time (0) | 2019.01.24 |
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
data leakage case #31, email account for google drive
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5065 "구글 드라이브 아티팩트 (Google Drive Artifacts)"
http://jeongchul.tistory.com/346 "클라우드 스토리지 포렌식"
#31. Identify account information for synchronizing Google Drive.
sync_log.log 분석 (이전의 글 data leakage case #30 cloud storage forensic for google drive 참고.)
sync_log.log 분석
이메일 주소에는 "@" 가 들어가므로, 로그 파일 내에서 해당 문자를 검색해본다.
다음과 같이 계정주소를 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #33, cd burning time (0) | 2019.01.24 |
|---|---|
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
data leakage case #30, cloud storage forensic for Google Drive
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/5065 "구글 드라이브 아티팩트 (Google Drive Artifacts)"
http://jeongchul.tistory.com/346 "클라우드 스토리지 포렌식"
#30. What files were deleted from Google Drive?
Find the filename and modified timestamp of the file.
[Hint: Find a transaction log file of Google Drive.]
1. snapshot.db, sync_config.db 분석
2. sync_log.log 분석
1. Snapshot.db, sync_config.db 분석
snapshot.db : 클라우드/로컬 파일 정보, 파일 간의 연관 관계
sync_config.db : 이메일 주소, 설치 경로, 소프트웨어 버전
가. %UserProfile%\AppData\Local\Google\Drive 에서 파일을 확인한다.
Winhex 상에서 "?" 는 복구 가능성이 존재하는 파일이며, "x" 는 삭제 이후 파일이 덮어 씌워져서 복구가 불가능한 것이다.
snapshot.db, sync_config.db는 용의자가 안티포렌식 행위를 하며 삭제한 것으로 보인다.
2. Sync_log.log 분석
sync_log.log : 동기화 로그
가. sync_log.log 를 sublime text 3 를 통해 열 경우 다음과 같다.
나. 이 로그들 중, 대소문자 구분없이 "delete" 가 있는 라인을 delete.txt 로 따로 추출한다.
delete.txt다. delete.txt 를 분석하면 다음의 로그가 눈에 띄는데, 해당 로그를 통해 어떠한 파일들이 삭제되었는지 알 수 있다.
common.aggregator:114 --------> Received event RawEvent(DELETE, path=u'\\\\?\\C:\\Users\\informant\\Google Drive\\{파일명}
How to get started with Drive, do_u_wanna_build_a_snow_man.mp3, happy_holiday.jpg 3가지의 파일이 삭제되었다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #32, cd artifacts (0) | 2018.10.25 |
|---|---|
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
data leakage case #29, artifacts of cloud services on PC
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/3584 "클라우드 서비스 흔적 – Cloud Spy"
https://www.researchgate.net/publication/257687927_Digital_Forensic_Investigation_of_Cloud_Storage_Services
#29. Find traces related to cloud services on PC.
(Service name, log files...)
1. 프로그램 설치 경로 확인
2. 링크파일 분석
3. 클라우스 서비스 별 파일 경로를 통해 확인
1. 프로그램 설치 경로 확인
다음과 같이 Google Drive와 관련된 흔적을 찾을 수 있다.
2. 링크파일(.lnk) 분석
Google Drive와 iCloud관련 흔적을 발견할 수 있다.
3. 클라우드 서비스 별 파일 경로를 통해 확인
다음은 클라우드 서비스 디지털 포렌식 수사 관련 파일이다.
DigitalForensicInvestigationofCloudStorageServices.pdf
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #31, email account for google drive (0) | 2018.10.25 |
|---|---|
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
| data leakage case #24, network drive (0) | 2018.10.13 |
data leakage case #27, 28, folder and file opening history
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/607 "LNK 파일 포렌식 분석"
https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"
#27. List all directories that were traversed in the company’s network drive.
#28. List all files that were opened in the company’s network drive.
1. ShellBagsExplorer 를 통한 폴더 열람 기록 분석 (이전 글 data leakage case #23 참고.)
2. 링크파일(.lnk) 분석
3. 점프목록(jumpList) 분석
1. ShellBagsExplorer 를 이용한 분석
다음과 같이 네트워크 드라이브의 '폴더' 열람 기록을 확인할 수 있다.
2. 링크파일(.lnk) 분석
네트워크 드라이브 상에서 최근에 실행된, 4개의 '문서' 파일을 확인할 수 있다.
3. 점프목록(jumpList) 파일 분석
네트워크 드라이브의 Volume Letter는 'V:'이며 관련 흔적은 다음과 같다.
V:\Secret Project Data\final
V:\Secret Project Data\final\[secret_project]_final_meeting.pptx
이 중 마지막 수정시각(Modified Time) 보다 생성시각(Created Time) 이 이전인 경우를 다음과 같이 선택하였다.
상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,
"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.
이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #30, cloud storage forensic for Google Drive (0) | 2018.10.23 |
|---|---|
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
| data leakage case #24, network drive (0) | 2018.10.13 |
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
data leakage case #25, #26, folder and file opening history
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.raymond.cc/blog/parse-and-analyze-windows-lnk-shortcut-files/ "6 Free Tools To Analyze Windows LNK Shortcut Files"
http://forensic-proof.com/archives/1904 "윈도우 7 점프 목록 (Windows 7 Jump Lists)"
#25. List all directories that were traversed in ‘RM#2’.
#26. List all files that were traversed in ‘RM#2’.
1. ShellBagsExplorer 를 통한 분석
2. 링크파일(.lnk)을 이용한 분석
3. 점프목록(jumpList) 분석
#22. USB 흔적 분석에서 RM#1 과 #RM#2가 'E:' 드라이브로 마운트 되었던 기록을 확인할 수 있으며, 해당 드라이브와 관련된 폴더 및 파일 열람 흔적을 분석한다.
1. ShellBagsExplorer를 통한 분석
다음과 같이 E 드라이브에 마운트 되었던 장치의 폴더 및 파일 열람 정보를 알 수 있다.
(이전 글 #23 참고.)
E: 드라이브 하위 폴더 중, RM#1의 하위 폴더를 제외한 Secret Project Data의 하위 폴더가 RM#2에서 탐색된 폴더이다.
2. 링크파일(.lnk) 분석
다음과 같이 E 드라이브에서 최근에 실행되었던 '문서' 파일 2개를 확인할 수 있다.
그러나, 해당 파일은 RM#2가 아닌 RM#1의 흔적이다.
3. 점프목록(JumpList) 분석
점프목록이란?
"작업 표시줄에 나타나는 응용프로그램에 마우스를 위치시킨 후 마우스를 우클릭하면 해당 응용프로그램으로 최근에 열거나 사용했던 파일들이 표시된다. 이를 점프 목록이라 부른다." (출처 - http://forensic-proof.com/archives/1904 "윈도우 7 점프 목록 (Windows 7 Jump Lists)")
가. 다음 경로의 폴더를 Recover/Copy 한다.
C:\Users\[UserProfile]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
C:\Users\[UserProfile]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
AutomaticDestinations(이하 AutoDes) : 최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록
CustomDestinations(이하 CustomDes) : 자주 사용되는 목록(Frequent)이나 작업(Tasks) 목록
나. nirsoft 의 JumpListView 를 통해 분석한다.
다음 그림은 readme.txt 의 일부이다.
(윈7, 8, 10, 32bit 64bit 를 다 지원한다.)
다. 최초 실행시 Host-PC 의 JumpList 를 분석하나, [Options] - [Advanced Options] 기능을 통해 분석하고자 하는 PC 의 점프목록 파일을 로드할 수 있다.
라. (가) 에서 복구한 2개의 폴더가 있는 폴더를 지정한다.
(필자는 #jumpList 폴더에 AutomaticDestinations, CustomDestinations 를 복구하였다.)
마. 다음과 같이 최근에 열람한 파일 및 폴더들을 확인 할 수 있다.
E:\Secret Project Data\design\winter_whether_advisory.zip 이 RM#2에서 탐색된 압축파일이다.
이외에도 생성시각(Created Time)보다 수정시각(Modified Time)이 빠른 경우를 다음과 같이 선택하였다.
상식적으로 생각한다면 파일의 마지막 수정시각이 생성시각보다 이전이라는 것은 말이 되지 않을 것 같으나,
"파일을 복사할 경우", 수정시각이 변경되지 않고, 생성시각과 접근시각만이 복사한 시간에 맞춰 복사파일이 생성된다.
이를 통해 혐의자가 해당 파일들을 복사하였다는 것을 알 수 있다.
Full Path 에서 Volume letter
-E: USB 의미
-v: network drive 의미
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #29, artifacts of cloud services on PC (0) | 2018.10.23 |
|---|---|
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
| data leakage case #24, network drive (0) | 2018.10.13 |
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
