무료도구 활용 분석연습 정리
이미지 획득 및 파일시스템 복구
FTK Imager를 이용한 이미지 획득
이미지 획득 후 Log 등을 이용하여 해시값 확인 및 저장매체 시리얼 넘버등 확인
파일시스템 복구
0번 섹터부터 파일시스템 시작하면서 VBR이 훼손된 경우 NTFS, FAT 파일시스템 VBR 복사본 섹터 찾은 뒤 파일시스템 VBR 덮어쓰기를 통해 복구
파티션 시작 섹터에 파일시스템 VBR이 훼손된 경우 해당 파티션 기준 NTFS, FAT 파일시스템 VBR 복사본 섹터 찾은 뒤 파일시스템 VBR 덮어쓰기를 통해 복구
저장매체와 파일시스템 분석
저장매체, 파일시스템 분석 FTK Imager, Autopsy 등을 이용하여 저장매체, 파일시스템 기초 분석 > 1) 저장매체와 파일시스템 분석
파일
확장자 변경
시그니처 변경/훼손
파일 합치기
압축파일 분할
NTFS Log 분석
실제 시험, 연습에서 주요 증거로 보이는 파일에서만 확장자 변경, 시그니처 훼손, 파일 합치기(스테가노그래피) 부분 확인 일반 정상파일임에도 시그니처 분석 결과가 정상이 아닌것으로 표시하는 경우도 있음 > 2) 파일과 친해지기
윈도우 아티팩트
레지스트리 분석
윈도우 시스템 관련 정보
외부 저장매체 연결 정보
네트워크 관련
링크파일
휴지통 관련
프린터 관련 기타 앱
Autopsy, REGA 와 같은 포렌식 도구를 이용하여 전처리(Process, Ingest) 후 내용 확인, 몇몇 부분은 해당 아티팩트 경로의 파일들 분석 > 4-1) 윈도우 아티팩트1
주요 응용 프로그램 아티팩트
이메일
인터넷 접속기록
문서파일 관련
외부 파일 전송 관련
FTP - FileZilla, 알드라이브 등
토렌트
메일에 첨부를 통해 전송
Autopsy, REGA 와 같은 포렌식 도구를 이용하여 전처리(Process, Ingest) 후 내용 확인, 몇몇 부분은 해당 아티팩트 경로의 파일들 분석
키워드 검색
속성(메타데이터) 검색
해시값 검색
키워드 검색
색인 기능 활용
Base64 Decode
Autopsy와 같은 포렌식 도구를 이용하여 분석 과정에서 확인된 주요 키워드 검색 > 6) 키워드 검색 / Base64 Decode
5. 주관식 - 기본 절차 및 증거법 관련주관식 - 기본절차 및 증거법 관련
Last updated