디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 1. 디지털 포렌식 실기 준비하기
  3. 4-1. 무료도구 활용 분석연습

무료도구 활용 분석연습 정리

Previous8) 가상머신(참고)Next4-2. EnCase 활용 분석연습

Last updated 10 days ago

무료도구를 이용한 분석에 대해 간단하게 정리하여 봅시다.

1

이미지 획득 및 파일시스템 복구

  • FTK Imager를 이용한 이미지 획득

    • 이미지 획득 후 Log 등을 이용하여 해시값 확인 및 저장매체 시리얼 넘버등 확인

  • 파일시스템 복구

    • 0번 섹터부터 파일시스템 시작하면서 VBR이 훼손된 경우 NTFS, FAT 파일시스템 VBR 복사본 섹터 찾은 뒤 파일시스템 VBR 덮어쓰기를 통해 복구

    • 파티션 시작 섹터에 파일시스템 VBR이 훼손된 경우 해당 파티션 기준 NTFS, FAT 파일시스템 VBR 복사본 섹터 찾은 뒤 파일시스템 VBR 덮어쓰기를 통해 복구

> 0) 이미지 획득 및 파일시스템 복구

2

저장매체와 파일시스템 분석

  • 저장매체, 파일시스템 분석 FTK Imager, Autopsy 등을 이용하여 저장매체, 파일시스템 기초 분석 > 1) 저장매체와 파일시스템 분석

3

파일

  • 확장자 변경

  • 시그니처 변경/훼손

  • 파일 합치기

  • 압축파일 분할

  • NTFS Log 분석

실제 시험, 연습에서 주요 증거로 보이는 파일에서만 확장자 변경, 시그니처 훼손, 파일 합치기(스테가노그래피) 부분 확인 일반 정상파일임에도 시그니처 분석 결과가 정상이 아닌것으로 표시하는 경우도 있음 > 2) 파일과 친해지기

4

윈도우 아티팩트

  • 레지스트리 분석

    • 윈도우 시스템 관련 정보

    • 외부 저장매체 연결 정보

    • 네트워크 관련

  • 링크파일

  • 휴지통 관련

  • 프린터 관련 기타 앱

Autopsy, REGA 와 같은 포렌식 도구를 이용하여 전처리(Process, Ingest) 후 내용 확인, 몇몇 부분은 해당 아티팩트 경로의 파일들 분석 > 4-1) 윈도우 아티팩트1

5

주요 응용 프로그램 아티팩트

  • 이메일

  • 인터넷 접속기록

  • 문서파일 관련

  • 외부 파일 전송 관련

    • FTP - FileZilla, 알드라이브 등

    • 토렌트

    • 메일에 첨부를 통해 전송

Autopsy, REGA 와 같은 포렌식 도구를 이용하여 전처리(Process, Ingest) 후 내용 확인, 몇몇 부분은 해당 아티팩트 경로의 파일들 분석

> 5) 주요 응용 프로그램 아티팩트

6

키워드 검색

  • 속성(메타데이터) 검색

  • 해시값 검색

  • 키워드 검색

  • 색인 기능 활용

  • Base64 Decode

Autopsy와 같은 포렌식 도구를 이용하여 분석 과정에서 확인된 주요 키워드 검색 > 6) 키워드 검색 / Base64 Decode

7

기타..

  • bitlocker

  • 가상머신

시험에 재출제될 가능성이 매우 낮기 때문에 한번 정도 연습 추천 연습시간 부족시 그냥 스킵 > 7) bitlocker > 8) 가상머신(참고)

주관식 - 기본절차 및 증거법 관련

5. 주관식 - 기본 절차 및 증거법 관련