모두의 dream

* 직접 실험을 하며 작성한 내용으로 틀린 내용이 매우매우 있을 수 있음. (직접 분석시 케이스 참고용으로만 사용할 것.)I. 휴지통 분석baseball.jpg 는 shift+delete, Flag_of_South_Korea.svg.png는 휴지통으로 집어넣은 후 삭제했다. 휴지통에 있는 파일은 삭제된 파일이라고 보기는 어렵지만.. 아무튼 별도의 포스팅을 할 정도는 아니라 여기에 작성했다.휴지통 삭제Ext4 파일시스템을 사용하는 우분투에서는 다음 경로에 삭제된 파일이 저장된다. (휴지통)~/.local/share/Trash/files(Ext4를 사용하는 모든 운영체제가 동일하다고 볼 순 없다.)삭제된 파일을 복원할 때 원래 있던 경로를 확인하는 방법 무엇일까?다음 경로에 파일의 원래 경로를 저장해 놓고 ..

VeraCrypt기존 파티션이나 드라이브(USB, 외장하드)를 암호화 하거나 암호화된 가상 디스크를 파일 형태로 새롭게 생성한다. VeraCrypt에는 3가지 볼륨 생성 옵션, 2가지 볼륨 형태가 존재한다.볼륨 생성 옵션 (Volume Creation)1. Create an encrypted file container암호화된 가상 디스크를 파일 형태로 생성한다.2. Encrypt a non-system partition/drive운영체제가 설치되지 않은 파티션이나 드라이브(외장 하드, USB 등)를 암호화하는 옵션.기존 데이터는 삭제되는 포맷을 한 후 암호화된 볼륨을 생성 하거나, 기존 데이터를 함께 암호화를 하는 옵션 중 선택할 수 있다.3. Encrypt the system partition or e..

WinFE (Windows Forensic Environment)부팅 USB를 이용하여 별도의 OS로 컴퓨터를 실행시킨 후 장착되어 있는 저장매체를 대상으로 이미징을 진행할 수 있다. 사용하는 프로그램은 WinFE(Windows Forensic Environment) 프로그램이다. WinFE는 경량 운영체제 WinPE(Windows Preinstallation Environment)를 기반으로 동작하는 운영체제로 디지털 포렌식에 초점을 맞추고 있기 때문에 쓰기 방지 등을 지원한다. 설치 과정은 공식 매뉴얼을 그대로 따라하면 된다.1. WinFE 다운로드 & 압축해제WinFE의 바탕화면을 변경하고 싶다면 wallpaper.jpg 라는 이름으로 "\x86", "\x64" 폴더에 복사하면 된다.2. Windo..

포렌식을 하다보면 이미지 파일을 가상머신에서 직접 실행해봐야 되는 경우가 발생한다.따라서 이미지 파일을 vmdk, vhdx 등 가상머신 확장자로 변환해줘야 한다.1. 이미지 파일 가상머신 확장자로 변환Qemu 이용qemu-img convert -pO [원하는 파일형식] [이미지 파일 경로] [원하는 파일명과 경로.확장자] 예시qemu-img convert -pO vmdk /mnt/c/Users/user/Desktop/Study/Ext4/Ext4_img_2.001 /mnt/c/Users/user/Desktop/Study/Ext4/Ext4.vmdk VMware 는 vmdk 파일, Hyper-V는 vhdx 로 변환해주면 된다. (O 옵션이 Output format, p 옵션이 Progress 옵션이다.)Vir..

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. * FAT32  파일 시스템, 디렉토리 엔트리 구조에 대한 내용은 아래 링크 참고.https://roklcw.tistory.com/80 FAT32 File System모두의 dream FAT32 File System 본문roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다.Data Area의 Directory Entry를 보면 SFN, LFN의 0번째 바이트 값만 0xE5로 변경하여 파일의 상태를 변경한다.추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다. 실습파일: FAT32 파일시스템으로 포맷한 USB.II. Data Area구조Data..

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *I. FAT32 파일시스템File Allocation Table파일의 할당 정보를 표현한 테이블.* 클러스터는 여러개의 섹터로 이루어져 있다.II. FAT32 파일시스템 구조첫 번째 섹터는 MBR이 존재한다.만약 파티션이 여러개 없다면(단일 파티션) MBR 대신 VBR 부터 시작된다고 한다.실습파일: FAT32 파일시스템으로 포맷한 USB.MBR파일시스템의 종류와 상관없이 MBR과 GPT는 디스크의 첫 번째 섹터에 위치하는 데이터로, 운영체제에 대한 정보가 담겨있는 영역이다. 따라서 이 영역이 손상될 경우 운영체제가 정상적으로 부팅되지 않는다. LBA(Logical Block Addressing)는 논리적인 주소로 섹터에 접근하는 방법이다...

I. inode 분석inode에 대한 자세한 내용은 아래 링크에서 확인할 수 있다.https://roklcw.tistory.com/65 Ext4 File System*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *I. Ext4 파일시스템Extended File System, 리눅스에서 사용하기 위해 개발된 Ext 파일시스템의 4번째 후속 버전이다II. Ext4 파일시스템 구조roklcw.tistory.com 실습을 위해 /home/user/Downloads 디렉토리에 Flag_of_South_Korea.svg.png, baseball.jpg 라는 파일을 다운로드 받아놨다.root 디렉토리의 경우 2번 inode를 고정값으로 갖고 있다.root directory inode필드들을 해석해보면..

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *미리 쓰는 느낀점: NTFS, FAT만 보고 가볍게 덤볐다간 큰 코 다칠 수 있습니다. 너무 어렵다;;I. GPT (MBR) 디스크의 기본 구조인 GPT(MBR)에 대해 서술한다.컴퓨터(Ext4) 부팅 절차BIOS → POST → MBR(GPT) → GRUB(Boot Loader) → 메모리(RAM)에 커널 로딩 → 운영체제 실행 및 제어권 이동GPT (MBR)실습 파일을 GPT 방식으로 만들어서 GPT 를 설명한다. GPT는 기존 MBR의 한계를 해결하기 위해 만들어졌다.내 컴퓨터의 펌웨어가 레거시(BIOS, Basic Input/Output System)라면 MBR 파티션을 사용하고, UEFI(Unified Extensible Firmw..

아티팩트: 운영체제가 자동으로 생성하는 파일 (생성증거)침해사고 조사를 할때는 아티팩트들의 타임라인을 잘 기록하여 순서대로 나열해야 시간을 단축시킬 수 있다.* 모든 경로는 윈도우 7 이상 기준. 관련 docs:http://www.forensic-artifact.com/windows-forensics/linkfilehttps://github.com/Psmths/windows-forensic-artifacts?tab=readme-ov-file분석 도구: https://ericzimmerman.github.io/#!index.md (웬만한건 거의 다 있음) 아티팩트 일괄 수집 도구:KAPE: https://ericzimmerman.github.io/KapeDocs/#!index.mdBITLive: https..

NTFS 파일시스템에 대한 내용은 아래 링크 참고https://roklcw.tistory.com/60 NTFS File SystemI. NTFS 파일시스템 FAT 파일시스템의 한계점을 개선하기 위해 개발된 파일시스템. * 클러스터는 여러개의 섹터로 이루어져 있다. II. NTFS 파일시스템 구조 VBR은 파티션의 첫번째 섹터에 있다. 부트roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다.MFT Header Entry를 보면 Flags라는 값이 있는데 이 값만 변경하여 파일의 상태를 변경한다.추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다.II. MFTMFT 영역에 있는 정보를 통해 삭제된 파일을 ..