목록분야/Digital Forensics (12)

모두의 dream

Block Mapping & Extent Tree (Ext Filesytem)

보호되어 있는 글입니다.
분야/Digital Forensics 2024. 5. 31. 15:03
이미지 파일을 가상머신으로 부팅하는 방법

포렌식을 하다보면 이미지 파일을 가상머신에서 직접 실행해봐야 되는 경우가 발생한다.따라서 이미지 파일을 vmdk, vhdx 등 가상머신 확장자로 변환해줘야 한다.1. 이미지 파일 가상머신 확장자로 변환Qemu 이용qemu-img convert -pO [원하는 파일형식] [이미지 파일 경로] [원하는 파일명과 경로.확장자] 예시qemu-img convert -pO vmdk /mnt/c/Users/user/Desktop/Study/Ext4/Ext4_img_2.001 /mnt/c/Users/user/Desktop/Study/Ext4/Ext4.vmdk VMware 는 vmdk 파일, Hyper-V는 vhdx 로 변환해주면 된다. (O 옵션이 Output format, p 옵션이 Progress 옵션이다.)Vir..
분야/Digital Forensics 2024. 5. 20. 15:32
FAT32 삭제된 파일 복구

FAT32 파일 시스템, 디렉토리 엔트리 구조에 대한 내용은 아래 링크 참고. https://roklcw.tistory.com/80 FAT32 File System모두의 dream FAT32 File System 본문roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다. Data Area의 Directory Entry를 보면 SFN, LFN의 0번째 바이트 값만 0xE5로 변경하여 파일의 상태를 변경한다. 추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다. 실습파일: FAT32 파일시스템으로 포맷한 USB.II. Data Area구조Data Area에 있는 정보를 통해 삭제된 파일을 복구할 수 있다.D..
분야/Digital Forensics 2024. 3. 11. 20:55
FAT32 File System

I. FAT32 파일시스템 File Allocation Table 파일의 할당 정보를 표현한 테이블. * 클러스터는 여러개의 섹터로 이루어져 있다. II. FAT32 파일시스템 구조 첫 번째 섹터는 MBR이 존재한다. 만약 파티션이 여러개 없다면(단일 파티션) MBR 대신 VBR 부터 시작된다고 한다. 실습파일: FAT32 파일시스템으로 포맷한 USB. MBR LBA(Logical Block Addressing)는 논리적인 주소로 섹터에 접근하는 방법이다. 섹터 1개를 LBA n 으로 부르게 된다. (참고: https://velog.io/@markyang92/partition) MBR은 Boot code, Partition table entry, signature로 구성되어 있다. Partition ta..
분야/Digital Forensics 2024. 3. 4. 00:10
Ext4 삭제된 파일 복원

보호되어 있는 글입니다.
분야/Digital Forensics 2023. 9. 15. 10:05
Ext4 File System

보호되어 있는 글입니다.
분야/Digital Forensics 2023. 9. 12. 21:36
윈도우 아티팩트 정리

아티팩트: 운영체제가 자동으로 생성하는 파일 (생성증거)침해사고 조사를 할때는 아티팩트들의 타임라인을 잘 기록하여 순서대로 나열해야 시간을 단축시킬 수 있다.* 모든 경로는 윈도우 7 이상 기준. 관련 docs:http://www.forensic-artifact.com/windows-forensics/linkfilehttps://github.com/Psmths/windows-forensic-artifacts?tab=readme-ov-file분석 도구: https://ericzimmerman.github.io/#!index.md (웬만한건 거의 다 있음) 아티팩트 일괄 수집 도구:KAPE: https://ericzimmerman.github.io/KapeDocs/#!index.mdBITLive: https..
분야/Digital Forensics 2023. 9. 7. 17:12
NTFS 삭제된 파일 복원

NTFS 파일시스템에 대한 내용은 아래 링크 참고https://roklcw.tistory.com/60 NTFS File SystemI. NTFS 파일시스템 FAT 파일시스템의 한계점을 개선하기 위해 개발된 파일시스템. * 클러스터는 여러개의 섹터로 이루어져 있다. II. NTFS 파일시스템 구조 VBR은 파티션의 첫번째 섹터에 있다. 부트roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다.MFT Header Entry를 보면 Flags라는 값이 있는데 이 값만 변경하여 파일의 상태를 변경한다.추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다.II. MFTMFT 영역에 있는 정보를 통해 삭제된 파일을 ..
분야/Digital Forensics 2023. 8. 29. 23:05
Prev 1 2 Next