c0msherl0ck.github.io

data leakage case #51, Recycle Bin

Forensic/CFReDS-Data Leakage Case2019. 1. 30. 05:12

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#51. Examine ‘Recycle Bin’ data in PC.

$RecycleBin 의 S-1-5-21-{사용자별 id} 폴더 내 파일을 분석한다.

- $I~ : 삭제된 파일의 META 정보(삭제된 시간 등)

- $R~: 실제로 삭제된 파일


1. 이전글 #6 "all account lists"에서 informant 계정의 사용자 id 는 1000 번임을 확인하였다.


2. "$I~" 파일을 클릭하였을 때 Winhex 화면 하단에서 삭제된 파일의 FullPath 를 알 수 있다. 또한, $I 파일의 생성시각이 해당파일이 삭제된 시간이다.

Winhex의 시간값은 host pc의 timezone이 적용된 값이다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic  (0) 2019.01.30
data leakage case #52, anti-forensic  (0) 2019.01.30
data leakage case #47~50, Volume Shadow Copies(VSC)  (0) 2019.01.30
data leakage case #42~46, Windows Search Database, windows.edb  (0) 2019.01.24
data leakage case #40, #41 sticky notes  (0) 2019.01.24

data leakage case #47~50, Volume Shadow Copies(VSC)

Forensic/CFReDS-Data Leakage Case2019. 1. 30. 04:49

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#47. Where are Volume Shadow Copies stored?  When were they created?

1. WinHex 를 통해 다음의 경로에서 확인

Volume Shadow File Path : \System Volume Information\


2. 다음의 명령어를 통해 시간 정보 확인(HOST PC의 timezone이 적용)

vsadmin list shadows /for={마운트된 이미지 경로}:

2015-03-25 23:57:27 (UTC+9) 즉, 2015-03-25 10:57:27(UTC-4)에 해당 볼륨 섀도 파일이 생성되었음을 알 수 있다.


#48. Find traces  related  to Google Drive service  in Volume Shadow Copy. What are the differences 

between the current system image (of Question 29 ~ 31) and its VSC?

ShadowCopyView 를 이용하면, 다음의 3가지 파일을 찾을 수 있다. 이전의 글 #29~31 에서 현재 시스템에서는 sync_log.log, snapshot.db 파일이 안티포렌식을 위해 삭제되어 분석에 제한이 있었으나, 볼륨섀도우를 통해 해당 파일들을 복구할 수 있다.


\User\informant\AppData\Local\Google\Drive\user_default\sync_log.log

\User\informant\AppData\Local\Google\Drive\user_default\snapshot.db [deleted]

\User\informant\AppData\Local\Google\Drive\user_default\sync_config.db [deleted]


ShadowCopyView의 시간값은 HOST PC의 timezone이 적용된 값이다.

2015-03-23 16:02:51(UTC-4)에 관련 파일들이 생성되었고, 2015-03-23 16:47:55(UTC-4)에 수정되었음을 알 수 있다.


#49. What files were deleted from Google Drive?  

Find deleted records of cloud_entry table inside snapshot.db from VSC. 

(Just examine the SQLite database only. Let us suppose that a text based log file was wiped.) 

[Hint: DDL of cloud_entry table is as follows.] 

  CREATE TABLE cloud_entry  

(doc_id  TEXT, filename  TEXT, modified  INTEGER, created  INTEGER, acl_role  INTEGER, 

doc_type  INTEGER, removed  INTEGER, size  INTEGER, checksum  TEXT, shared  INTEGER, 

resource_type TEXT, PRIMARY KEY (doc_id));

SQLite-Deleted-Records-Parser (Python2)을 이용한다.

https://github.com/mdegrazia/SQLite-Deleted-Records-Parser

http://az4n6.blogspot.com/2013/11/python-parser-to-recover-deleted-sqlite.html


snapshot.db 를 input 으로 하여 report.tsv 를 다음과 같이 생성한다.


[Usage]


[Deleted Files]

C:\Users\Informant\Google Drive\happy_holiday.jpg

C:\Users\Informant\Google Drive\do_u_wanna_build_a_snow_man.mp3


#50. Why can’t we find Outlook’s e-mail data in Volume Shadow Copy?

Outlook OST files were excluded by the following snapshot configuration.


[snapshot configuration registry value]

HKLM/SYSTEM/ControlSet###/Control/BackupRestore/FilesNotToSnapshot

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #52, anti-forensic  (0) 2019.01.30
data leakage case #51, Recycle Bin  (0) 2019.01.30
data leakage case #42~46, Windows Search Database, windows.edb  (0) 2019.01.24
data leakage case #40, #41 sticky notes  (0) 2019.01.24
data leakage case #38, #39, Thumbcache  (0) 2019.01.24

data leakage case #42~46, Windows Search Database, windows.edb

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 20:31

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식 (Windows Search Forensics)"

http://moaistory.blogspot.com/2018/ "WinSearchDBAnalyzer"


#42. Was the ‘Windows Search and Indexing’ function enabled? How can you identify it?

  If it was enabled, what is a file path of the ‘Windows Search’ index database?  

HKLM\SYSTEM\ControlSet001\services\WSearch (value : DelayedAutoStart ) 값이 1일 경우 윈도우 검색 및 색인 기능이 활성화 된 것이다.


When a service is configured for a delayed automatic start, a DWORD registry value is present under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\<service name>. It's named DelayedAutoStart and it's set to 1, along with a Start value of 2—which is the normal value for automatic start.2011. 7. 21.




HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows (value: FileName) 값이 windows.edb 의 경로이다.



#43 What kinds of data were stored in Windows Search database?

Windows.edb (=Windows Search Database) 란?

윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있으며, Extensible Storage Engine (ESE) Database(.edb) 파일 중 하나이며, 경로는 다음과 같다.

Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb


다음과 같이 사용자의 기본 폴더, 이메일, 인터넷 히스토리등의 개략적인 정보가 확인가능하다.

- Internet Explorer History 

- Microsoft Outlook 

- Files in %UserProfile% (Excluding ‘AppData’ directory) 

- Start Menu (/ProgramData/Microsoft/Windows/Start Menu/) 

- Sticky Note


#44 ~ 46

[도구명] WinSearchDBAnalyzer

[프로그램 다운로드 경로] http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html


다음과 같이 windows.edb 를 불러온다.


[open] 클릭 후에는, 어떠한 정보들을 파싱할 것인지에 대해 선택할 수 있는데 기본 설정으로 진행한다.


파싱 이후에, 다음 그림과 같이 windows.edb 에 저장되는 정보들의 종류를 알 수 있다.

이중 ALL(464) 를 누른 후, System_ItemPathDisplay 컬럼를 기준으로 정렬을 하여 필요한 정보들을 분석한다. System_Search_AutoSummary 컬럼 또한 분석에 유의미한 정보(이메일 내용, PPT 내용 등 해당파일의 Contents)를 가지고 있다.


#44 Find traces of Internet Explorer usage stored in Windows Search database.  

(It should be considered only during a date range between 2015-03-22 and 2015-03-23.) 



#45 List the e-mail communication stored in Windows Search database. 

(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)




#46 List files and directories related to Windows Desktop stored in Windows Search database. 

(Windows Desktop directory: \Users\informant\Desktop\) 

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #51, Recycle Bin  (0) 2019.01.30
data leakage case #47~50, Volume Shadow Copies(VSC)  (0) 2019.01.30
data leakage case #40, #41 sticky notes  (0) 2019.01.24
data leakage case #38, #39, Thumbcache  (0) 2019.01.24
data leakage case #37, print forensic  (0) 2019.01.24

data leakage case #40, #41 sticky notes

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 08:55

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#40. Where are Sticky Note files located? 

\Users\informant\AppData\Roaming\Microsoft\Sticky Notes\StickyNotes.snt 


#41. Identify notes stored in the Sticky Note file.

WinHex 를 통해 해당 경로의 StickyNotes.snt 파일을 추출한 뒤, Structured Storage Viewer 를 통해 내용을 확인한다.

[프로그램 다운로드 링크] https://www.mitec.cz/ssv.html



저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #47~50, Volume Shadow Copies(VSC)  (0) 2019.01.30
data leakage case #42~46, Windows Search Database, windows.edb  (0) 2019.01.24
data leakage case #38, #39, Thumbcache  (0) 2019.01.24
data leakage case #37, print forensic  (0) 2019.01.24
data leakage case #36, DOCX file searching  (0) 2019.01.24

data leakage case #38, #39, Thumbcache

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 07:45

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/2092 "썸네일 포렌식 분석 (Thumbnail Forensics)"


#38. Where are ‘Thumbcache’ files located?

\Users\informant\AppData\Local\Microsoft\Windows\Explorer\thumbcache_[size].db 


#39. Identify traces related to confidential files stored in Thumbcache. (Include ‘256’ only) 

Thumbnail Database Viewer 를 통해 thumbcache_256.db 를 열면 다음과 같은 썸네일을 확인 할 수 있다.

[프로그램 다운로드 링크] http://www.itsamples.com/thumbnail-database-viewer.html

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #42~46, Windows Search Database, windows.edb  (0) 2019.01.24
data leakage case #40, #41 sticky notes  (0) 2019.01.24
data leakage case #37, print forensic  (0) 2019.01.24
data leakage case #36, DOCX file searching  (0) 2019.01.24
data leakage case#35, cd (opened files)  (0) 2019.01.24

data leakage case #37, print forensic

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 07:38

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#37. How and when did the suspect print a resignation file?

1. XPS 파일 확인

2. 레지스트리 분석(설치된 프린터 드라이버 확인)


1. XPS 파일 확인

이전글 data leakage case #36, DOCX file searching 에서 resignation file 의 경로 \Users\Informant\Desktop\Resignation_Letter_(Iaman_Informant).docx 를 알 수 있으며, WinHex 에서 해당경로로 이동하게 되면 .xps 파일이 존재한다.


WinHex 의 시간값은 HOST-PC 의 time zone(UTC+9)이므로, 분석 대상 PC 의 time zone(UTC-4) 를 적용하기 위하여, -13을 해준다.

Created : 2015-03-25 오전 11:28:33, Modified : 2015-03-25 오전 11:28:34


[참고] https://m.blog.naver.com/PostView.nhn?blogId=nuwanamj&logNo=10028598176&proxyReferer=https%3A%2F%2Fwww.google.com%2F


XPS 파일이란?

XPS(XML Paper Specification)는 장치에 상관없이 동일한 모습의 문서를 표시하기 위한 표준이다.  이는 MS가 제시하는 거창한 비전이고 개인적인 생각으로는 PDF가 움켜쥐고 있는 문서관리 시장을 겨냥한 것이라고 생각한다. 기본적으로 PDF와 같은 개념이며, 링크와 보안면에서 다소 향상된 기능을 제공한다고 한다. 중요한 것은 .NET Framework 을 이용해서 프로그래밍이 가능하며, .NET Framework 3.0 이상이 설치되면 자동으로 Viewer가 제공된다는 것이다.


XPS는 여러가지 형태의 문서를 각 타입의 애플리케이션이 표시하는 모습과 거의 같은 모습으로 표시할 수 있다. 이는 다양한 타입으로 저장되어 있는 문서를 XPS 타입으로 변환해서 저장할 경우, 사용자들이 단순히 XPS Viewer만 가지고 있으면 모든 문서를 볼 수 있다는 이야기이다. 여러가지 타입의 문서를 XPS로 문서로 변환하는 방법은 1) 사용자의 동작에 의한 명시적인 변환 방법. 2) Office 2007 의 기능을 이용한 프로그래밍 적인 방법이 있다.


XPS Document Writer 란?

XPS Document Writer는 .NET Framework 3.0을 설치할때 함께 설치되는 프린터 드라이버이다. 유틸리티가 아니라 프린터 드라이버이므로 어떠한 타입의 파일이라도 XPS로 저장할 수 있다. 종이로 인쇄되는 것이 아니라 XPS 파일로 인쇄되는 것이다. 이 방법은 사용자가 항상 XPS Document Writer로 인쇄를 해야만 해당 파일이 XPS로 변환되는 단점이 있다.


2. 레지스트리 분석

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\ 경로를 보면 사용한 프린터 드라이버 목록을 볼 수 있다.



3. 결론

1과 2의 결과를 종합하여, 용의자는 2015-03-25 오전 11:28:34 경 XPS 포맷으로 해당 문건을 출력하였다고 생각할 수 있다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #40, #41 sticky notes  (0) 2019.01.24
data leakage case #38, #39, Thumbcache  (0) 2019.01.24
data leakage case #36, DOCX file searching  (0) 2019.01.24
data leakage case#35, cd (opened files)  (0) 2019.01.24
data leakage case #34, cd (copied files)  (0) 2019.01.24

data leakage case #36, DOCX file searching

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 06:16

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#36. Identify all timestamps related to a resignation file in Windows Desktop. 

[Hint: the resignation file is a DOCX file in NTFS file system.] 

1. docx 확장자 파일 검색한다.

다음과 같이 Resignation_Letter_(Iaman_informant).docx 파일을 확인할 수 있다.


2. 파일명을 기준으로 timestamp, event를 재검색한다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #38, #39, Thumbcache  (0) 2019.01.24
data leakage case #37, print forensic  (0) 2019.01.24
data leakage case#35, cd (opened files)  (0) 2019.01.24
data leakage case #34, cd (copied files)  (0) 2019.01.24
data leakage case #33, cd burning time  (0) 2019.01.24

data leakage case#35, cd (opened files)

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 06:03

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html


#35. What files were opened from CD-R?

[이전 글 참고] data leakage case #25, #26 "folder and file opening history"


1. LNK 분석

2. JumpList 분석

3. ShellBag 분석


1. LNK 분석

LinkParser 를 통해 다음과 같이, D 드라이브가 CD-ROM Drive 인것을 알 수 있으며(Drive type : CD-ROM Drive), 열어본 파일 목록 또한 확인가능하다.



2. JumpList 분석

JumpListView를 통한 분석을 통해, D 드라이브에서 실행된 파일 및 폴더목록을 다음과 같이 확인할 수 있다.


3. ShellBag 분석

다음과 같이 D 드라이브(CD mount volume)에서 파일 및 폴더 열람 기록을 확인할 수 있다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #37, print forensic  (0) 2019.01.24
data leakage case #36, DOCX file searching  (0) 2019.01.24
data leakage case #34, cd (copied files)  (0) 2019.01.24
data leakage case #33, cd burning time  (0) 2019.01.24
data leakage case #32, cd artifacts  (0) 2018.10.25

data leakage case #34, cd (copied files)

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 05:31

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"


#34. What files were copied from PC to CD-R?

1. Burn 폴더 확인

2. 파일시스템 로그 확인


1. Burn 폴더 확인

\Users\informant\AppData\Local\Microsoft\Windows\Burn\Burn\

위의 경로에 임시파일이 저장되는데, WinHex 로 확인시 다음과 같이 어떠한 파일 흔적도 남아 있지 않다.


2. 파일시스템 로그 확인

파일경로에 \Users\informant\AppData\Local\Microsoft\Windows\Burn\Burn\ 가 포함된 모든 파일들의 로그를 확인해보면 다음과 같다.

해당 파일시스템 기록은 해당파일들이 CD 에서 복사 되기 전, Burn 폴더에 임시적으로 생성된 기록이다.

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case #36, DOCX file searching  (0) 2019.01.24
data leakage case#35, cd (opened files)  (0) 2019.01.24
data leakage case #33, cd burning time  (0) 2019.01.24
data leakage case #32, cd artifacts  (0) 2018.10.25
data leakage case #31, email account for google drive  (0) 2018.10.25

data leakage case #33, cd burning time

Forensic/CFReDS-Data Leakage Case2019. 1. 24. 05:05

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/5375 "광학 레코딩 흔적 찾기 (Optical Recording Artifacts)"

https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned

https://askubuntu.com/questions/359264/how-to-open-udf-volume


#33. When did the suspect burn CD-R?

1. 레지스트리 분석

2. 시스템 이벤트 로그 확인(EventID=133)

3. 임시파일 흔적 확인

4. 파일시스템 분석

5. CD 파일 확인

5. 결론


1. 레지스트리 분석

HKU\informant\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\ 

> If the last selection is burning type 1(USB), ‘DefaultToMastered’ value will be 0. 

> If the last selection is burning type 2(CD/DVD), ‘DefaultToMastered’ value will be 1.

위의 레지스트리를 확인한 결과는 아래와 같다.

Registry explorer의 Last write timestamp 시간값은 UTC+0이다.

그러므로 2015-03-24 16:53:16(UTC-4)에 CD를 burning type 1, 'USB 플래시 드라이브에서처럼 사용'을 선택한 것을 알 수 있다.


2. 시스템 이벤트 로그 확인

Log Parser Studio를 통해 이벤트 로그 133을 확인한다.

해당 로그는 CD가 Burning될때 생성되는 로그이다.

Log Parser Studio의 시간값은 현재 분석하는 HOST-PC 의 time zone 이 적용된 것이다.

HOST-PC(UTC+9), 분석 대상 PC(UTC-4) 이므로, 위의 시간값에서 -13 을 해주어야 한다.


2015-03-24 15:47:47(UTC-4)

2015-03-24 15:56:11(UTC-4)

2015-03-24 16:24:46(UTC-4)

2015-03-24 16:41:21(UTC-4)


그러므로 위의 시각에 CD를 구운 것을 알 수 있다.


3. 임시파일 흔적 확인

NTFS Log Tracker를 통해 임시파일과 관련된 파일시스템 로그를 확인한다.

DAT#####.tmp, FIL#####.tmp, POST#####.tmp


NTFS Log Tracker의 시간값은 분석대상 PC의 timezone이 적용된 것이다.

해당 임시파일들은 CD를 구울 때 생성되기 때문에 위의 시각에 CD를 구운 것으로 보인다.


3. 파일시스템 분석

https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned

ISO 9660 : CD/DVD 플레이어에서 사용

UDF : USB 플래시 드라이브에서처럼 사용


이 부분은 아직 추가적인 학습이 필요하다.


UDF (Universal Disk Format, http://www.osta.org/specs/pdf/udf260.pdf) 

> Timestamps stored in descriptors of UDF (ECMA 167 1/7.3) 

> ex) file offset 0x1017A of RM#3 

        

> DF 07 (2015), 03 (03), 18 (24), 10 (16), 35 (53), 11 (17)… 

> 2015-03-24 16:53:17 – Format time of UDF


4. CD 파일 확인

https://askubuntu.com/questions/359264/how-to-open-udf-volume

https://hackerfordream.tistory.com/entry/Mac-Time-%ED%99%95%EC%9D%B8


가. CD 이미지를 마운트한다.(format type : udf / iso9660)


나. 파일의 MAC time 을 확인한다.

CD 이미지를 마운트한 SANS-SIFT workstation의 timezone은 UTC+0 이다.

M : Modification time(수정 시간) ls -l 옵션으로 확인 가능. vi편집기로 편집하거나 생성시 나타나는 시간

A : Access time(접근 시간) ls -ul 옵션으로 확인 가능. cat, echo 등으로 해당 파일 읽었을 때 나타나는 시간

C : metadata change time(속성 변경 시간) ls -cl 옵션으로 확인 가능. chmod, chown 등으로 파일 속성을 변경하였을 때 나타나는 시간


다. stat 명령어를 통해 파일별 세부시각을 확인한다.


2015-03-24 16:57(UTC-4) 시각에 해당 파일들이 생성되었음을 알 수 있다.


5. 결론

위에서의 결과를 종합하면 다음과 같다.


2015-03-24 15:47:47(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:47:47(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:49:26(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:01(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:11(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:56:11(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 15:57:07(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:24:46(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:24:46(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:25:16(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:41:21(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:41:21(UTC-4) / 이벤트 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:43:10(UTC-4) / NTFS 로그 / Burning Type 2 (CD/DVD)

2015-03-24 16:53:16(UTC-4) / 레지스트리 / Select Burning Type Option 1 (USB), USB 플래시 드라이브처럼 사용 선택

2015-03-24 16:53:17(UTC-4) / 파일시스템 / 포맷시간 확인

2015-03-24 16:57(UTC-4) / MAC time / Koala.jpg, Penguins.jpg, Tulips.jpg 파일 생성

저작자표시 비영리 변경금지

'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글

data leakage case#35, cd (opened files)  (0) 2019.01.24
data leakage case #34, cd (copied files)  (0) 2019.01.24
data leakage case #32, cd artifacts  (0) 2018.10.25
data leakage case #31, email account for google drive  (0) 2018.10.25
data leakage case #30, cloud storage forensic for Google Drive  (0) 2018.10.23

티스토리툴바