디지털 포렌식_5과목_(2)실무

📋 5과목. 디지털 포렌식 기초실무와 법률

💻 제 2편. 디지털 포렌식 기초실무

🤍 로그

• 파일 시스템 로그 : NTFS 파일 시스템의 경우 $LogFile, $UsrJrnl에 파일 생성, 접근 등에 관한 로그 존재.
• USB 사용 로그 : USB 포트에 연결했던 USB들의 사용로그가 레지스트리에 남아있음.
• 인터넷 사용 로그 : 임시파일, 쿠키, 즐겨찾기, ActiveX 등으로부터 인터넷 사용 행적 조사가 가능

프린터 작업동안 생성된 Spool Files은 프린터 작업이 완성된 후 deleted 된다.

🤍 Thumbs.db 포렌식

• Windows XP에서부터 Thumbs.db 파일에 저장됨
• 기본 폴더부터 옵션에선 보이지 않고, 폴더옵션에서 "보호된 OS 파일 숨기기" 항목을 체크 해제해야 볼 수 있음
• 그래픽 이미지를 비롯하여 동영상, PDF, PPTX, DOCX, HTML을 지원함

thumbs.db - 미리보기용 이미지가 생성되어 저장

🤍 Signature Analysis

• 해당 파일의 확장자와 시그니처와의 관계로 분석

🤍 %System Root%

• SAM : 로컬 계정과 그룹 정보
• SECURITY : 시스템의 보안과 권한 관련 정보
• NTUSER.DAT : 사용자별 설정 정보

🤍 Signature

• 파일의 앞부분(Header)나 마지막 부분(Footer)에 있는 파일 고유 정보
• 시그니처를 통해 파일의 확장자와 상관없이 파일의 본래 형식을 알 수 있음

🤍 NSRL

• 참조 데이터 셋 : 잘 알려진 파일들의 해시 값을 모아놓는 것
• 미국의 NIST에서 추진하는 데이터 셋 프로젝트

🤍 레지스트리

• 윈도우 시스템에서 시스템 설치, 사용 정보, 사용자 활용정보, 응용프로그램 사용정보 등이 저장되는 위치

🤍 해시 값

• 디지털 지문 또는 디지털 DNA. 하드 드라이버나 비트를 약간만 수정해도 완전히 다른 값이 나옴

🤍 INDEX.DAT

• FTK, Encase 모두 dat 파일 해독이 가능하다.
• 바이너리 파일로 MS IE가 사용됨

🤍 링크파일

• Ink 확장자를 가짐
• 특정 파일이나 폴더가 존재한 적이 있는지를 확인할 때 사용
• 링크파일 자체에도 날짜와 시간정보 저장

🤍 디스크 검색방법

• GREP : 미지의 단어 또는 숫자를 감색하는 방법

🤍 파일 카빙

• 파일 시스템의 도움을 받지 않고 파일들의 시그니처 구조, 논리 구조, 형식 등에 의존하여 복구하는 것

🤍 Image View

• Jpeg