data leakage case #21, ost file
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#21. List all e-mails of the suspect. If possible, identify deleted e-mails.
(You can identify the following items: Timestamp, From, To, Subject, Body, and Attachment)
[Hint: just examine the OST file only.]
1. OSTViewerPro를 이용한 이메일 분석
2. Autopsy를 이용한 첨부파일 분석
1. OSTViewerPro 를 이용한 이메일 분석
가. Winhex 를 이용해 OST 파일을 recover/copy 한다.
나. OST 파일을, OSTViewer 로 불러온다.
다. 다음과 같은 화면이 나온다.
라. Folder List 에서 "Deleted Items", "Inbox", "Sent Items" 에만 내용이 존재하며 다음과 같다.
마. 이 중 다음 링크가 첨부된 메일의 내용을 확인할 수 있고, 2개의 파일을 다운로드 한다.
2. Autopsy 를 이용한 첨부파일 분석
do_u_wanna_build_a_snow_man.mp3
happy_holiday.jpg
가. 위 두개의 파일을 오픈하려고 하면 다음과 같은 에러메세지가 뜬다.
혐의자가 파일의 확장자를 임의 변경한 것을 알 수 있고, 해당 파일의 원래 확장자를 알기 위하여 Autopsy 를 이용한다.
나. Autopsy 에서 New Case 를 만든다음 다음과 같이 2개의 파일을 추가한다.
다. 옵션에서는 파일 분석과 관련된 것을 선택하였다.
라. By MIME Type 이 원래의 확장자이며 각각 pptx(presentation), xlsx(sheet) 형식인 것을 확인할 수 있다.
마. 다음과 같이 원래 파일의 확장자로 변경한 후, 확인해보면 혐의자가 숨기려 했던 내용을 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #23, artifacts of renamed files (1) | 2018.10.13 |
|---|---|
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
| data leakage case #20, e-mail account (0) | 2018.09.18 |
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
data leakage case #20, e-mail account
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#20. What was the e-mail account used by the suspect?
#19 참고.
iaman.informant@nist.gov 계정을 사용한다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #22, All about mounted devices, USB, CD-ROM etc (0) | 2018.09.18 |
|---|---|
| data leakage case #21, ost file (0) | 2018.09.18 |
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
data leakage case #19, e-mail file location (pst vs ost)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://support.office.com/en-us/article/introduction-to-outlook-data-files-pst-and-ost-222eaf92-a995-45d9-bde2-f331f60e2790
#19. Where is the e-mail file located?
By default, an Microsoft Outlook PST file is located at: “C:\Users\ \AppData\Local\MicrosoftOutlook” under Windows 7 or Vista
and at: C:\Documents and Settings\ \Local Settings\Application Data\Microsoft\Outlook\ under Windows XP.
Outlook Data Files (.pst) created by using Outlook 2013 or Outlook 2016 are typically saved on your computer in the Documents\Outlook Files folder. If you upgraded to Outlook on a computer that already had data files that were created in Microsoft Office Outlook 2007 or earlier, these files are saved in a different location in a hidden folder at drive:\Users\user\AppData\Local\Microsoft\Outlook.
The offline Outlook Data File (.ost) is also saved at drive:\Users\user\AppData\Local\Microsoft\Outlook. Most data remains on the server; however, any items that are saved locally should be backed up. For example, Calendar, Contacts, Tasks, and any folders marked Local only.
Windows 7 에서의 Microsoft Office Outlook 경로는 다음과 같다.
%userprofile%\AppData\Local\Microsoft\Outlook
.pst vs .ost 파일
- PST(비동기) : POP3에서 주로 사용되는 방식으로 메일 정보를 다운로드 받아서 백업하여 다른 PC에서 언제든지 사용이 가능한 방식입니다. 백업/사용이 용이하지만, 메일 정보를 PC로 다운로드 받고 오래된 메일은 보통 서버에서 제거된 형태이기 때문에 PC/HDD의 손상이 있는 경우 메일 정보가 없어질 수 있습니다.
- OST(동기) : 특정 PC에서만 사용이 가능하고, 다른 PC나 사용자가 Outlook 에서 열어 볼 수 없는 "캐시 파일"에 해당이 됩니다. 접근 속도를 향상시키기 위해서 메일 정보를 다운로드 받습니다. 사용자가 임으로 수정을 하면, 메일 서버의 내용까지 함께 변경, IMAP/Exchange Server/MAPI 등의 방식에서 주로 사용, 메일서버와 동기화 되며, 오프라인일 때도 사용가능
[출처] https://www.remorepair.com/ko/help/ko-difference-between-pst-and-ost-file.html
OST 파일은 Exchange 서버에서 사용자의 Outlook 폴더의 미러 이미지로 시작하고 PST 파일은 모든 Outlook은 이메일, 연락처, 일정 항목으로 속성을 저장하는 데 사용되는 데이터베이스 파일인 반면, 네트워크 연결의 경우에는 사용할 수 있습니다. 당신이 당신의 컴퓨터에 또는 백업 아카이브를 생성 할 때주의 사항 등 당신은 PST 파일을 작성해야합니다.
[출처] https://m.blog.naver.com/PostView.nhn?blogId=minae99&logNo=220218311224&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F
OST 파일은 PST처럼 아웃룩의 모든 항목들을 PC에 저장하는 개념적인 이론은 같지만, 내 PC에 서버의 내용을 복사해둔 Cached 캐시본이라는 차이가 있다. 캐시본의 의미는 PST처럼 계정이 없어도 다른PC나 다른계정에서 열어볼수 있는 것이 아니라, 현재 계정의 PC에 휘발성으로 남겨두는 것이다.
[출처] https://ko.esdifferent.com/difference-between-ost-and-pst
1. OST 파일 폴더는 PST 파일 폴더가 로컬에 저장된 파일에 사용할 수있는 개인 데이터 저장 영역 인 반면 인터넷에 연결되어 있지 않을 때 사용할 수있는 오프라인 데이터 저장 영역입니다.
2. PST 파일 폴더는 Exchange 설치와 함께 사용할 수 있지만 Microsoft Exchange Server에서만 작동하는 OST 파일 폴더와 달리 다른 서버와는 호환되지 않습니다.
3. OST 파일 폴더를 사용하면 오프라인 일 때도 작업 할 수 있습니다. PST 파일 폴더에이 기능이없는 동안 메시지를 읽고, 편집하고, 작성하고, 삭제하고, 온라인 상태에서 변경 사항을 동기화 할 수 있습니다.
4. 둘 다 Microsoft Outlook의 일부입니다. OST 파일 폴더는 신뢰할 수 없거나 제한된 인터넷 연결이있는 영역에서 사용하기에 적합하지만 PST 파일 폴더는 아닙니다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #21, ost file (0) | 2018.09.18 |
|---|---|
| data leakage case #20, e-mail account (0) | 2018.09.18 |
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#18. What application was used for e-mail communication?
레지스트리 분석
HKLM\SOFTWARE\Clients\Mail
HKLM\SOFTWARE\Classes\mailto\shell\open\command
다음과 같이 Microsoft Outlook 15.0을 사용하는 것을 알 수 있다.
윈도우 메일(Windows Mail)은 윈도우 비스타에만 예외적으로 포함된 전자 우편과 뉴스그룹 클라이언트이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #20, e-mail account (0) | 2018.09.18 |
|---|---|
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
data leakage case #17, user keywords at the search bar
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.howtogeek.com/282281/how-to-delete-the-search-history-in-windows-file-explorer/
#17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword)
레지스트리 분석
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
1. admin_11, informant, temporary 에 해당하는 NTUSER.DAT 을 registry explorer 에 불러온다.
2. WordWheelQuery 레지스트리 키가 존재하는 것은 informant 뿐이며, 다음과 같다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #19, e-mail file location (pst vs ost) (0) | 2018.09.18 |
|---|---|
| data leakage case #18, email application check (0) | 2018.09.18 |
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
data leakage case #16, kewords using web browser
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#16. List all search keywords using web browsers. (Timestamp, URL, keyword...)
#15 WEFA 를 이용한 분석 참고.
1_c0msherl0ck_Search.csv
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #18, email application check (0) | 2018.09.18 |
|---|---|
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
data leakage case #15, website access logs
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#15. What websites were the suspect accessing? (Timestamp, URL...)
WEFA 를 이용한 분석
1. Collection of Web Browser Log File 을 클릭한다.
2. Arsenal image mounter 를 통해 마운트 시킨 이미지 드라이브를 클릭한다.
3. 모든 옵션에 체크한 후, "collection" 을 클릭한다.
4. 다음과 같이 collection 된 폴더가 생성된다.
5. Analysis of Web Browser Log Information 을 클릭한다.
6. Open a Folder 를 통해, 이전에 생성된 collection 폴더를 선택하고, Time zone 을 설정한다.
7. 다음과 같이 용의자가 접속한 웹사이트 기록을 확인할 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #17, user keywords at the search bar (0) | 2018.09.18 |
|---|---|
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
data leakage case #14, artifacts of WEB
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf
#14. Identify directory/file paths related to the web browser history
1. 인터넷 사용 기록(history)
2. 쿠키 및 기타 시이드 데이터(Cookies)
3. 캐시된 이미지 또는 파일(Caches)
INSIGHT_Web-Browser-Forensics_Part1.pdf
Chrome
Download List 정보는 History 정보와 함께 ‘History’ 파일안에 저장됨
IE
Opera
Safari
Firefox
<Random> 정보는 히스토리 경로의 ‘Firefox ‘폴더 아래, ‘profiles.ini ‘파일 안에 저장됨
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #16, kewords using web browser (0) | 2018.09.18 |
|---|---|
| data leakage case #15, website access logs (2) | 2018.09.18 |
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#13. What web browsers were used?
1. 프로그램 설치 경로 확인
2. 링크파일(.lnk) 분석(이전 글, data leakage case #10/11, application installed/execution logs 참고.)
1. 프로그램 설치 경로 확인
Winhex 로 Program Files 또는 Program Files(x86) 의 파일들을 조사한다.
다음과 같이 Chrome 과 IE 를 사용하고 있음을 알 수 있다.
2. 링크파일(.lnk) 분석
이전 글 data leakage case #10~11, application install/execution logs 참고
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #15, website access logs (2) | 2018.09.18 |
|---|---|
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
| data leakage case #12, window event log (system on/off) (0) | 2018.09.17 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
data leakage case #12, window event log (system on/off)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx "Windows Security Log Events"
#12. List all traces about the system on/off and the user logon/logoff.
(It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.)
2가지 툴을 이용한 이벤트 로그 분석
1. microsoft message analyzer
2. LogParserStudio_LPSV2.D1
Windows 4624 An account was successfully logged on
Windows 4625 An account failed to log on
Windows 4647 User initiated logoff
Windows 4648 A logon was attempted using explicit credentials
Windows 4608 Windows is starting up
Windows 4609 Windows is shutting down
1. Microsoft message analyzer 를 이용한 이벤트 로그 분석
가. 분석 PC 이벤트 로그를 다음의 경로에서 추출한다.
%systemroot%\System32\winevt
나. Microsoft message analyzer 를 통해 해당 로그를 불러온 후 다음과 같이 필터링 한다.
*eventId == 4624 or *eventId == 4647 or *eventId == 4608 or *eventId == 4609
여기서 보여지는 timestamp 값은, HOST PC 의 timezone 에 해당하는 값으로, Target PC의 Time zone을 적용하기 위해서는 -13 hour 를 하면 된다.
다. 우측상단의 Export 메뉴를 통해, 결과파일을 다음과 같이 .csv 파일로 export 할 수 있다.
최초에 export 를 할 경우 한글이 깨져서 나오는데, 다음과 같이 해결한다.
1) export.csv 파일을 메모장으로 연다.
2) 다른 이름으로 저장할 때, 인코딩을 "utf-8" 변경한 후 저장하면, 새로 저장된 .csv 파일은 한글이 깨지지 않는다.
[참고] http://yaraba.tistory.com/512
2. Log Parser Studio 를 이용한 이벤트 로그 분석
가. 분석할 이벤트 로그를 다음과 같이 선택한다. (Choose log files/folders to query)
Add folder 메뉴는 버그로 작동하지 않아, Add files 를 통해 모든 파일을 불러온다.
나. "Create a new query" 를 통해 새로운 질의창을 생성하고, Log Type: EVTLOG 를 선택한다.
다. 다음의 쿼리를 실행한다.
SELECT * FROM '[LOGFILEPATH]'
WHERE (EventID = 4624) OR (EventID = 4647) OR (EventID = 4608) OR (EventID = 4609)
ORDER BY TimeGenerated ASC
라. CSV 파일로 export 한다.
마찬가지로 한글이 깨지지만, 메모장으로 연 후 "utf-8" 인코딩으로 다른이름저장하면 한글이 깨지지 않는다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
|---|---|
| data leakage case #13, Web application check (0) | 2018.09.18 |
| data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
| data leakage case #9, network interface with IP (0) | 2018.08.10 |
| data leakage case #8, last shutdown date/time (0) | 2018.08.10 |
