data leakage case #24, network drive
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://holywaterkim.tistory.com/46?category=811084
#24. What is the IP address of company’s shared network drive?
ShellBagsExplorer 를 통한 분석(이전 글 data leakage case #23 참고.)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #27, 28, folder and file opening history (0) | 2018.10.13 |
|---|---|
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
| data leakage case #21, ost file (0) | 2018.09.18 |
data leakage case #23, artifacts of renamed files
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://holywaterkim.tistory.com/19?category=811084
http://forensicinsight.org/wp-content/uploads/2013/07/F-INSIGHT-Advanced-UsnJrnl-Forensics-Korean.pdf
http://jxo21.tistory.com/14 "Registry Shellbag"
http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식"
#23. Identify all traces related to ‘renaming’ of files in Windows Desktop.
(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)
[Hint: the parent directories of renamed files were deleted and their MFT entries were also overwritten. Therefore, you may not be able to find their full paths.]
1. 파일시스템 로그 분석(NTFS Log Tracker) : Renaming에 대한 직접적인 흔적
2. ShellBags 분석(ShellBagsExplorer) : 사용자의 폴더 열람 기록
3. Windows Search database 분석(WinSearchDBAnalyzer) : 윈도우 내 존재했던 폴더, 파일 기록
1. 파일시스템 로그 분석
가. NTFS Log Tracker에 다음의 파일을 입력하여 파일시스템 로그 정보를 추출한다.
$UsnJrnl : C:\$Extend\$Usnjrnl:$J
$MFT : C:\$MFT
$LogFile : C:\$LogFile
나. SQLite Expert Personal 를 이용해 해당 db 를 분석한다.
쿼리는 다음과 같으며 각 라인에 대한 설명을 첨부하였다.
1) select * from UsnJrnl where event like '%file_renamed%'
2) and timestamp > '2015-03-23 00:00:00' and timestamp < '2015-03-25 00:00:00'
3) and (fullpath like '%informant_desktop%' or fullpath is '')
4) and fileattr is 'Archive'
1) renaming 된 파일을 찾기 위한 event 명
2) 2015-03-23 ~ 2015-03-24 기록
3) fullpath is '%informant_desktop%' 는 informant 계정의 바탕화면 경로이다.
fullpath is '' 는 문제의 힌트에 설명되어있듯이, 해당 파일이 있던 부모 디렉토리가 삭제되었을 경우 fullpath 를 알 수 없기 때문이다.
4) fileattr 은 폴더인지 파일인지 구분하는 필드이며, 파일만 보기 위해 Archive 라는 옵션을 주었다.
[참고] $UsnJrnl의 각 필드별 의미
TimeStamp 가 동일하고, Event 가 File_Renamed_Old, File_Renamed_New, File_Renamed_New/Closed 3개가 연속으로 나타나는 것이 파일의 이름을 바꾼 행위에 대한 기록이다.
2. ShellBags 분석
ShellBag 이란?
쉘백은 최초로 폴더를 열람 시 생성된다. 이외에도 폴더를 생성, 복사, 압축 프로그램에 의해 실행되었을 경우에도 생성된다.
가. Eric Zimmerman's tools 중, ShellBagsExplorer을 처음 실행시키면 다음과 같이 초기 설정을 할 수 있으며, 이후에 옵션탭을 통해 변경할 수 있다.
나. [File] - [Load offline hive] 에서 분석할 계정의 NTUSER.DAT 과 UsrClass.dat 을 선택한다.
(동시에 여러개 선택이 안되서 각각 선택 후 분석해야 한다.)
다. 다음과 같이 실행결과에 대한 창이 뜬다.
라. [Tools] - [Expand tree nodes] 를 클릭하면 tree 구조가 전부 펼쳐진다.
마. informant 사용자가 열람했던 폴더 구조를 살펴볼 수 있다.
3. Windows Search Database 분석
Windows.edb 란?
Windows.edb 파일에는 윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있다. 윈도우 검색 색인 정보는 사용자가 정의하지 않더라도 사용자의 기본 폴더, 이메일, 인터넷 히스토리 등의 정보가 저장되므로 포렌식 분석에 큰 도움이 될 수 있다.
Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows
가. Windows.edb 파일을 Recover/Copy 한다.
나. WinSearchDBAnalyzer를 이용해 해당 파일을 분석한다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #25, #26, folder and file opening history (0) | 2018.10.13 |
|---|---|
| data leakage case #24, network drive (0) | 2018.10.13 |
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
| data leakage case #21, ost file (0) | 2018.09.18 |
| data leakage case #20, e-mail account (0) | 2018.09.18 |
data leakage case #22, All about mounted devices, USB, CD-ROM etc
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/3632 "윈도우에서 USB 흔적 추적하기 (USB Device Tracking on Windows)"
http://forensic-proof.com/archives/276 "마운트된 장치 GUID 분석하기 (Mounted Devices GUID Analysis)"
http://forensic-proof.com/archives/5945 "윈도우 7 장치 연결/해제 이벤트 로그 (Windows 7 Device Tracking Event Log)"
https://docs.microsoft.com/ko-kr/windows-hardware/drivers/install/hklm-system-currentcontrolset-control-registry-tree
https://www.blackbagtech.com/blog/2017/02/14/analyzing-usb-entries-in-windows-7/
https://www.forensicswiki.org/wiki/USB_History_Viewing
http://orionforensics.com/w_en_page/USB_forensic_tracker.php "USB Forensic Tracker"
#22. List external storage devices attached to PC.
1. SetupAPI 로그 분석(setupapi.dev.log) 을 통한 최초 장치 연결 시각
2. 레지스트리 분석
3. 이벤트 로그 분석을 통한 연결 해제 시각
4. USB Forensic Tracker를 통한 분석
1. SetupAPI 로그 분석(setupapi.dev.log)
Windows 2000/XP : %SystemRoot%\Setupapi.log
Windows Vista/7/8 : %SystemRoot%\inf\Setupapi.dev.log
가. 위 경로의 파일을 recover/copy 한다.
나. log 파일을 확인하면 다음과 같이, device 가 연결되었을 때의 "드라이버 설치과정"이 기록되어 있다. "최초 연결 시각"을 알 수 있다.
It should be noted that the dates and times listed in this log are in local time
(using the offset applied to the computer at the time of entry).
즉, 기록되는 시간값이 분석대상 PC의 timezone이 적용된 local time 으로 기록된다.
setupapi.dev.log2. 레지스트리 분석
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
HKLM\SYSTEM\MountedDevices
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\{Device Entry}
HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry}
HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\{숫자}\{Sub Keys}
가. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
This registry entry tracks USB storage devices that have been connected to the computer. This is where Windows will record the manufacturer information along with the serial number as read from the device.
USB의 serial number 와 First connection time 을 알 수 있다.
나. HKLM\SYSTEM\MountedDevices
"MBR이 존재하는 디스크의 경우 사용자가 특별하게 해당 레지스트리 값을 지우지 않는다면 MountedDevice에 GUID 값이 저장된다. 각 값의 데이터에는 12바이트의 값이나 12바이트 이상의 값들이 존재한다. 12바이트의 문자는 MBR의 정보(디스크 시그니처 + 볼륨시작위치)를 이용해 생성하지만 그보다 긴 값들을 운영체제가 임의로(미리 정의된 형식) 생성한다. Data 값이 동일하고 Value Name 부분만 다른 케이스들을 확인 할 수 있는데, Volume GUID, 드라이브 문자 2가지로 표현한 것이며 동일한 장치를 의미한다."
위의 그림에서는 Data 값이 같은 것끼리 묶었을 때 총 6개가 확인가능하며 Data 크기에 따라 다음과 같이 해석한다.
1) Data 크기가 12 bytes 인 경우의 해석 (USB Drive Enclosure, 내장/외장 하드 디스크)
12 bytes = Disk signature (4 bytes) + volume start address (8 bytes)
1.1) \??\Volume{c9a1c040-d2d7-11e4-9dae-806e6f6e6963} / \DosDevices\C: / \??\Volume{c9a1c041-d2d7-11e4-9dae-806e6f6e6963}
위 그림의 위에서부터 3가지 항목의 Disk signature 가 20-57-26-F0 동일하므로 같은 로컬 고정 디스크이며,
시작위치정보는 각각 Little Endian 으로, 00-00-10-00-00-00-00-00, 00-00-50-06-00-00-00-00 이다.
MBR partition table 에서 확인해보면 다음과 같이 일치하는 것을 알 수 있다.
- Disk signature : 20 57 26 F0
- partition 1 시작위치 : 0x800 * 0x200(512bytes) = 0x100000
- partition 2 시작위치 : 0x32800 * 0x200(512bytes) = 0x6500000
1.2) \DosDevices\E: / \??\Volume{a2f2048e-d228-11e4-b630-000c29ff2429}
Disk Signature : 4C 03 21 E2
1.3) \??\Volume{662626a6-d181-11e4-9591-000c29ff2429}
Disk Signature : D8 03 21 E2
2) Data 크기가 12 bytes 이상인 경우의 해석 (USB Thumbdrive, CD, DVD)
Data 를 Unicode로 디코딩한다.
다. HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
계정별 마운트된 저장장치의 GUID 값을 확인할 수 있다.
즉, 해당계정의 사용자가 해당 장치를 마운트 한 것이다.
The Last Write Time listed is the last time this device was connected (by that user).
해당 키의 수정 시각이 "마지막 연결 시각", Last connection time
1) informant
##10.11.11.128#secured_drive
\??\Volume{662626a6-d181-11e4-9591-000c29ff2429} Disk Signature : D8 03 21 E2
\DosDevices\E: / \??\Volume{a2f2048e-d228-11e4-b630-000c29ff2429} Disk Signature : 4C 03 21 E2
\DosDevices\C: / \??\Volume{c9a1c041-d2d7-11e4-9dae-806e6f6e6963}
\DosDevices\D: / \??\Volume{c9a1c044-d2d7-11e4-9dae-806e6f6e6963} CD-ROM
2) admin11
\DosDevices\C: / \??\Volume{c9a1c041-d2d7-11e4-9dae-806e6f6e6963}
\DosDevices\D: / \??\Volume{c9a1c044-d2d7-11e4-9dae-806e6f6e6963} CD-ROM
3) temporary
\DosDevices\C: / \??\Volume{c9a1c041-d2d7-11e4-9dae-806e6f6e6963}
\DosDevices\D: / \??\Volume{c9a1c044-d2d7-11e4-9dae-806e6f6e6963} CD-ROM
위의 결과로 볼때, informant 계정의 사용자가 C: D: 기본 드라이브 이외에, 2개의 저장장치를 추가적으로 연결하였음을 알 수 있다.
라. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\{Device Entry}
Volume label 을 확인할 수 있다.
마. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry}
아래와 같이 정보가 없다.
바. HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{숫자}\{Sub Keys}
해당 키의 수정 시각이 "부팅 후 최초 연결 시각"이다. First Connection Time After Booting
아래의 그림은 하위키 중 USB, storage, CD-ROM 해당하는 부분을 확인한 것이다.
3. 이벤트 로그 분석
장치가 연결 해제되면 관련 정보를 이벤트 로그에 기록한다.
%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
해당 이벤트 로그를 분석하면, "마지막 연결 시각"을 알 수 있다. Last Connection Time
Security Log Audit Plug and Play Activity
6416: A new external device was recognized by the System.
6419: A request was made to disable a device.
6420: A device was disabled.
6421: A request was made to enable a device.
6422: A device was enabled.
6423: The installation of this device is forbidden by system policy.
6424: The installation of this device was allowed, after having previously been forbidden by policy.
Microsoft-Windows-Partition/Diagnostic
1006: May contain Manufacturer, Model, Serial, and raw Partition Table, MFT, and VBR data.
분석 대상 PC 에는 해당 이벤트 로그가 기록이 되어 있지 않다. 혐의자가 안티포렌식 행위를 한 것으로 보여진다.
일반적으로 다음과 같이 로그가 남겨진다.
4. USB Forensic Tracker v1.1.1 를 통한 분석
가. 프로그램 실행 후, Mount Forensic Image 를 클릭한다.
나. Mount E01 Image 를 클릭한다.
다. E01 image 를 클릭한다.
라. Write temporary 옵션을 선택한다.
마. 마운트된 드라이브 문자를 확인한다.
바. 해당 드라이브 문자를 선택 한 후, Run 한다.
사. 다음과 같이 1. 2. 3. 에서 했던 결과물들을 간편히 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #24, network drive (0) | 2018.10.13 |
|---|---|
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
| data leakage case #21, ost file (0) | 2018.09.18 |
| data leakage case #20, e-mail account (0) | 2018.09.18 |
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
data leakage case #21, ost file
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#21. List all e-mails of the suspect. If possible, identify deleted e-mails.
(You can identify the following items: Timestamp, From, To, Subject, Body, and Attachment)
[Hint: just examine the OST file only.]
1. OSTViewerPro를 이용한 이메일 분석
2. Autopsy를 이용한 첨부파일 분석
1. OSTViewerPro 를 이용한 이메일 분석
가. Winhex 를 이용해 OST 파일을 recover/copy 한다.
나. OST 파일을, OSTViewer 로 불러온다.
다. 다음과 같은 화면이 나온다.
라. Folder List 에서 "Deleted Items", "Inbox", "Sent Items" 에만 내용이 존재하며 다음과 같다.
마. 이 중 다음 링크가 첨부된 메일의 내용을 확인할 수 있고, 2개의 파일을 다운로드 한다.
2. Autopsy 를 이용한 첨부파일 분석
do_u_wanna_build_a_snow_man.mp3
happy_holiday.jpg
가. 위 두개의 파일을 오픈하려고 하면 다음과 같은 에러메세지가 뜬다.
혐의자가 파일의 확장자를 임의 변경한 것을 알 수 있고, 해당 파일의 원래 확장자를 알기 위하여 Autopsy 를 이용한다.
나. Autopsy 에서 New Case 를 만든다음 다음과 같이 2개의 파일을 추가한다.
다. 옵션에서는 파일 분석과 관련된 것을 선택하였다.
라. By MIME Type 이 원래의 확장자이며 각각 pptx(presentation), xlsx(sheet) 형식인 것을 확인할 수 있다.
마. 다음과 같이 원래 파일의 확장자로 변경한 후, 확인해보면 혐의자가 숨기려 했던 내용을 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
|---|---|
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
| data leakage case #20, e-mail account (0) | 2018.09.18 |
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
data leakage case #20, e-mail account
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#20. What was the e-mail account used by the suspect?
#19 참고.
iaman.informant@nist.gov 계정을 사용한다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
|---|---|
| data leakage case #21, ost file (0) | 2018.09.18 |
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
data leakage case #19, e-mail file location (pst vs ost)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://support.office.com/en-us/article/introduction-to-outlook-data-files-pst-and-ost-222eaf92-a995-45d9-bde2-f331f60e2790
#19. Where is the e-mail file located?
By default, an Microsoft Outlook PST file is located at: “C:\Users\ \AppData\Local\MicrosoftOutlook” under Windows 7 or Vista
and at: C:\Documents and Settings\ \Local Settings\Application Data\Microsoft\Outlook\ under Windows XP.
Outlook Data Files (.pst) created by using Outlook 2013 or Outlook 2016 are typically saved on your computer in the Documents\Outlook Files folder. If you upgraded to Outlook on a computer that already had data files that were created in Microsoft Office Outlook 2007 or earlier, these files are saved in a different location in a hidden folder at drive:\Users\user\AppData\Local\Microsoft\Outlook.
The offline Outlook Data File (.ost) is also saved at drive:\Users\user\AppData\Local\Microsoft\Outlook. Most data remains on the server; however, any items that are saved locally should be backed up. For example, Calendar, Contacts, Tasks, and any folders marked Local only.
Windows 7 에서의 Microsoft Office Outlook 경로는 다음과 같다.
%userprofile%\AppData\Local\Microsoft\Outlook
.pst vs .ost 파일
- PST(비동기) : POP3에서 주로 사용되는 방식으로 메일 정보를 다운로드 받아서 백업하여 다른 PC에서 언제든지 사용이 가능한 방식입니다. 백업/사용이 용이하지만, 메일 정보를 PC로 다운로드 받고 오래된 메일은 보통 서버에서 제거된 형태이기 때문에 PC/HDD의 손상이 있는 경우 메일 정보가 없어질 수 있습니다.
- OST(동기) : 특정 PC에서만 사용이 가능하고, 다른 PC나 사용자가 Outlook 에서 열어 볼 수 없는 "캐시 파일"에 해당이 됩니다. 접근 속도를 향상시키기 위해서 메일 정보를 다운로드 받습니다. 사용자가 임으로 수정을 하면, 메일 서버의 내용까지 함께 변경, IMAP/Exchange Server/MAPI 등의 방식에서 주로 사용, 메일서버와 동기화 되며, 오프라인일 때도 사용가능
[출처] https://www.remorepair.com/ko/help/ko-difference-between-pst-and-ost-file.html
OST 파일은 Exchange 서버에서 사용자의 Outlook 폴더의 미러 이미지로 시작하고 PST 파일은 모든 Outlook은 이메일, 연락처, 일정 항목으로 속성을 저장하는 데 사용되는 데이터베이스 파일인 반면, 네트워크 연결의 경우에는 사용할 수 있습니다. 당신이 당신의 컴퓨터에 또는 백업 아카이브를 생성 할 때주의 사항 등 당신은 PST 파일을 작성해야합니다.
[출처] https://m.blog.naver.com/PostView.nhn?blogId=minae99&logNo=220218311224&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F
OST 파일은 PST처럼 아웃룩의 모든 항목들을 PC에 저장하는 개념적인 이론은 같지만, 내 PC에 서버의 내용을 복사해둔 Cached 캐시본이라는 차이가 있다. 캐시본의 의미는 PST처럼 계정이 없어도 다른PC나 다른계정에서 열어볼수 있는 것이 아니라, 현재 계정의 PC에 휘발성으로 남겨두는 것이다.
[출처] https://ko.esdifferent.com/difference-between-ost-and-pst
1. OST 파일 폴더는 PST 파일 폴더가 로컬에 저장된 파일에 사용할 수있는 개인 데이터 저장 영역 인 반면 인터넷에 연결되어 있지 않을 때 사용할 수있는 오프라인 데이터 저장 영역입니다.
2. PST 파일 폴더는 Exchange 설치와 함께 사용할 수 있지만 Microsoft Exchange Server에서만 작동하는 OST 파일 폴더와 달리 다른 서버와는 호환되지 않습니다.
3. OST 파일 폴더를 사용하면 오프라인 일 때도 작업 할 수 있습니다. PST 파일 폴더에이 기능이없는 동안 메시지를 읽고, 편집하고, 작성하고, 삭제하고, 온라인 상태에서 변경 사항을 동기화 할 수 있습니다.
4. 둘 다 Microsoft Outlook의 일부입니다. OST 파일 폴더는 신뢰할 수 없거나 제한된 인터넷 연결이있는 영역에서 사용하기에 적합하지만 PST 파일 폴더는 아닙니다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #21, ost file (0) | 2018.09.18 |
|---|---|
| data leakage case #20, e-mail account (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#18. What application was used for e-mail communication?
레지스트리 분석
HKLM\SOFTWARE\Clients\Mail
HKLM\SOFTWARE\Classes\mailto\shell\open\command
다음과 같이 Microsoft Outlook 15.0을 사용하는 것을 알 수 있다.
윈도우 메일(Windows Mail)은 윈도우 비스타에만 예외적으로 포함된 전자 우편과 뉴스그룹 클라이언트이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #20, e-mail account (0) | 2018.09.18 |
|---|---|
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
data leakage case #17, user keywords at the search bar
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.howtogeek.com/282281/how-to-delete-the-search-history-in-windows-file-explorer/
#17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword)
레지스트리 분석
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
1. admin_11, informant, temporary 에 해당하는 NTUSER.DAT 을 registry explorer 에 불러온다.
2. WordWheelQuery 레지스트리 키가 존재하는 것은 informant 뿐이며, 다음과 같다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
|---|---|
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
data leakage case #16, kewords using web browser
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#16. List all search keywords using web browsers. (Timestamp, URL, keyword...)
#15 WEFA 를 이용한 분석 참고.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #18, email application check (0) | 2018.09.18 |
|---|---|
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
data leakage case #15, website access logs
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#15. What websites were the suspect accessing? (Timestamp, URL...)
WEFA 를 이용한 분석
1. Collection of Web Browser Log File 을 클릭한다.
2. Arsenal image mounter 를 통해 마운트 시킨 이미지 드라이브를 클릭한다.
3. 모든 옵션에 체크한 후, "collection" 을 클릭한다.
4. 다음과 같이 collection 된 폴더가 생성된다.
5. Analysis of Web Browser Log Information 을 클릭한다.
6. Open a Folder 를 통해, 이전에 생성된 collection 폴더를 선택하고, Time zone 을 설정한다.
7. 다음과 같이 용의자가 접속한 웹사이트 기록을 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
|---|---|
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
