디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. Sqlite
  • 2. Sqlite 도구를 활용한 분석 연습
  • 2-1) 인터넷 접속 기록(Chrome 살펴보기)
  • 2-2) Sticky Note(스티커메모) 열어보기
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 1. 디지털 포렌식 실기 준비하기
  3. 4-2. EnCase 활용 분석연습
  4. 5) 주요 응용 프로그램 아티팩트

5-1) Sqlite 열어보기

Previous5) 주요 응용 프로그램 아티팩트Next6) 키워드 검색 / Base64 Decode

Last updated 10 days ago

이 부분은 시험에서는 필수는 아니나 앞으로 포렌식 관련 분석을 할 때 알아두면 좋을 Sqlite 파일을 전용 도구를 이용하여 가볍게 살펴보고 가도록 하겠습니다.

1. Sqlite

  • Sqlite 파일은 경량화 된 관계형 데이터베이스 관리 시스템(RDBMS)으로, 서버 없이 하나의 파일에 모든 데이터베이스가 저장되는 구조를 가집니다.

  • 실제로 많은 앱이나 프로그램에서 Sqlite를 많이 사용합니다.(특히 모바일은 더욱 많이 사용합니다.) 따라서 꼭 한번은 분석해보시는 것을 추천 드립니다.

  • Sqlite 파일의 경우 기본 시그니처가 "SQLite format3"로 된 파일로 프로그램, 앱 등 다양한 곳에서 매우 많이 사용되기 때문에 해당 시그니처를 가진 파일을 발견한 경우 주요 분석 대상 프로그램의 속한 파일이라면 충분히 분석 할만한 대상이 됩니다.

  • 먼저 Sqlite파일을 분석할 수 있는 도구를 다운 받아 보겠습니다. (시험장에서 제공하는 도구) [DB Browser for Sqlite] - 공식 사이트 : - 다운로드(64비트) : *SQLite Expert Professional 5.5.7 / Coral Creek Software → 삭제 >

2. Sqlite 도구를 활용한 분석 연습

2-1) 인터넷 접속 기록(Chrome 살펴보기)

  1. 앞에서 Autospy로 살펴봤던 Chrome 접속관련 기록을 Sqlite 분석도구를 이용해서 살펴보겠습니다. 아래 경로의 파일을 추출하여 봅시다. Users/{사용자}/AppData/Local/Google/Chrome/User Data/Default/History

  2. [DB Browser for Sqlite] 데이터베이스 열기를 선택 후 추출한 파일을 선택하여 열 수 있습니다. 확장자가 지원하지 않는 경우 모든 파일을 선택하면 열 수 있습니다.

    테이블을 살펴보면 urls, downloads 등등을 살펴보면 주요 흔적을 확인할 수 있습니다.

2-2) Sticky Note(스티커메모) 열어보기

  1. 앞에서 실습했던 스티커 메모를 한번 연습해보도록 하겠습니다.

  2. 먼저 아래 경로의plum.sqlite 파일을 추출합시다. Users/{사용자}/AppData/Local/Google/Chrome/User Data/Default/History 추출 시 주의사항으로 sqlite 파일과 같이 ~shm, wal 파일이 있을 경우 같이 추출 하는 것을 추천합니다. 특히 sqlite 용량이 용량이 작을 경우 같이 추출해야 정상적인 데이터베이스 내용 확인이 가능합니다.

  3. [DB Browser for Sqlite] DB Browoser for Sqlite를 실행 한 뒤 데이터베이스 열기를 통해 sqlite 파일을 열 수 있습니다.

    Autospy와 같이 테이블 선택이 가능하고, 내용 부분을 더블클릭 해서 상세히 확인이 가능합니다.

내 윈도우의 Sticky Note 테스트 해보기

  • 내 PC에서도 테스트를 해보겠습니다. (필수는 아닙니다!) *[스티커 메모]입니다. / 스티커 노트는 다른 앱입니다.

  1. DB Browser for Sqlite를 실행 한 뒤 데이터베이스 파일을 열어봅시다. 아래 경로를 상위 경로에 복사 붙여넣기 하거나 %LOCALAPPDATA%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState 각자 PC의 맞는 경로로 가보도록 합시다. plum.sqlite 파일을 선택하여 열기 하여 봅시다.

  2. 테이블을 Note로 선택 후 Text 부분을 살펴보면 추가된 내역을 확인할 수 있습니다.

  3. Sqlite Export 프로그램 시작 후 데이터베이스 파일 열기 아이콘을 선택 한 뒤 plum.sqlite 파일이 위치한 경로로 이동하여 파일을 열어봅시다. %LOCALAPPDATA%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState

  4. [Note] 테이블을 살펴보면 추가된 내역 확인이 가능합니다.

스티커 메모앱을 실행한 뒤 아무 텍스트나 입력 해 봅시다.

https://sqlitebrowser.org/dl/
https://download.sqlitebrowser.org/DB.Browser.for.SQLite-v3.13.0-win64.msi
[링 크]