디지털 포렌식의 절차
사전 준비
증거 수집
증거 포장 및 이송
조사 분석
정밀 검토
보고서 작성
WinHex 툴로 카빙해보기
Tools - Open Disk - 현재 내 시스템에 연결된 디스크가 보임 - C
Tools - Open Disk - vmdk파일 열기 (vm 이미지파일)
거꾸로 kdmv로 vmdk 시그니쳐를 가지고있음을 확인할 수 있음
분석을하려면 Specialist - Interpret Image File As Disk
카빙을 하려면 Tools - Disk Tools - File Recovery by Type
시그니쳐 기반으로 하겠어? ㅇㅋ
jpeg, png만 선택하고 filename prefix에 저장될 폴더 설정, 아래 메뉴에서 어떤방식으로 시그니처를 검색할것이냐를 선택할 수 있는데,
window에서 파일은 한 섹터단위가 물리적인 단위고 한 클러스터단위가 논리적인 단위임. 이 두가지로 해도되지만 중간에 덮어씌어졌을수도 있기때문에 가장 상세하게 byte-level 로 시그니처를 검색하기 - 많이 세밀한 작업임
라이브 포렌식
활성 데이터
활성데이터 수집 고려사항
휘발성 민감도/분석 중요도에 따른 수집 순서
활성 데이터 수집 - bitlive win 도구 사용
pc전원을 끄지 못하는 경우에 사용
디스크 이미지 파일 포맷 종류
E01
포렌식에서 가장 범용적으로 쓰이는 포맷
증거 파일의 무결성을 보장하기 위해 MD5, SHA1 해시를 사용할 수 있고, 증거 파일 암호화를 위해 AES256사용
DataBlock마다 CRC를 넣어주면서 무결성을 제공해주고 마지막 데이터부분에는 MD5를 사용하여 암호화를 할 수 있음
RAW(DD)
FTK Imager
pagefile.sys
파일이 있음. 메모리가 부족할때 잠시 빌리는 공간hibernation.sys
파일이 있음. 잠자기/최대절전모드 활성화 시 그대로 mapping시켜주는거기 때문에 추가 분석 대상물리주소와 가상주소
가상주소 : 프로세스 독자적 영역안에 위치하는 주소