Main Post

[Digital Forensic] Android Google Chrome Browser History Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 Ext4 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Rooting이 진행된 Android의 S7(SM-G930S) 기기에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존..

[Digital Forensic] Windows Google Chrome Browser History Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 NTFS 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있게 재현하고 이후 '인터넷 사용..

[Digital Forensic] Android Thumbcache File Recovery Analysis

Thumbcache File Forensic디지털 포렌식에서 기기에 저장된 그래픽 파일을 활용해 범죄 혐의를 입증 할 수 있다. 하지만 안티 포렌식으로 인해 원본 그래픽 파일이 부재된 경우 Thumbcache 파일을 분석해 부재된 그래픽 파일을 대신하여 범죄 혐의 입증에 사용할 수 있다. 때문에 Thumbcache 파일의 구조와 삭제 정책을 상세하게 이해할 필요가 있다. 본 문단은 안드로이드에서 기본적으로 제공하는 갤러리의 Thumbcache 파일 생성 및 삭제 정책과 Thumbcache 파일에서 Thumbnail 파일 추출 및 추출된 Thumbnail 파일의 원본 파일 연관성 증명 방법을 정의한다.   Thumbcache File ScenarioThumbcache 파일의 구체적인 생성 및 삭제 정책을 ..

Evidence Analysis 2024.04.14 1

[Digital Forensic] Android Ext4 File System File Recovery Analysis

Ext4 File System File Recovery본 문단은 안드로이드의 Ext4 파일 시스템에서 파일 삭제 정책을 토대로 파일 복구 과정을 정의하고, 삭제된 파일 복구 과정을 정리한 글이다. 파일 복구 실습은 두 가지 파일로 나누어 진행한다. 첫 번째 복구의 경우 Extent 내부에 Extent Entry가 하나 존재하는 파일 단편화가 일어나지 않은 파일이다.두 번째 복구의 경우 파일 단편화가 5번 이상 일어나, Extent Depth가 1 이상인 파일의 복구이다. 아래는 복구 실습에 사용한 두 파일의 기본적인 정보이다.File NameSizeExtent Entry CountExtent Depth20240302_135410.jpg1,941 KB(1,986,687 Byte)1020240302_1354..

File System 2024.03.06 1

[Digital Forensic] NTFS File System File Recovery Analysis

Test$MFT, $LogFile, $J의 구체적은 구조, 생성, 삭제 과정을 확인하기 위해 파일 생성 및 삭제 과정을 시나리오 테스트로 진행하였다.구체적인 시나리오는 'logo_image.png'라는 해당 블로그의 로고 이미지를 저장, 삭제, 휴지통 삭제의 세 가지 과정으로 진행하였다. 0. NTFS 구조아래는 디스크의 MBR로 1번 Partition Table Entry만 존재하며, 해당 파티션의 Partition Type이 0x07(NTFS) 임을 확인할 수 있다. 추가로 Start Sector는 0x80(128) 번 섹터이다. 128번 섹터에 NTFS의 VBR이 존재한다. VBR의 BPB에서 $MTF Start Cluster 값(0x63 00 = 25,344)을 참조하여, $MFT 영역으로 접근한..

File System 2023.12.27 2

[KITRI BoB] Best of the Best 13기 디지털포렌식 합격 후기

BoB (Best of the Best)본글은 KITRI의 차세대 보안 리더 양성 프로그램인 Best of the Best(이하 BoB) 13기 디지털포렌식 합격 후기를 다룬 글이다. 필자가 합격한 BoB는 13기의 디지털포렌식 트랙이기 때문에, 본 글은 13기 디지털포렌식 트랙을 기준으로 기술한다.  서류평가서류평가 항목으로는 학력사항(필수), 자기소개서(필수), 자격증(선택), 어학(선택), 수상경력(선택), 교육사항(선택), 보유기술(선택), 기술발표(선택), 발표논문(선택), 취약점 제보이력(선택), 프로젝트 기술서(선택), 추천서(선택), 포트폴리오(선택)가 있다. 필자의 경우 진행한 프로젝트가 하나도 존재하지 않아 학력사항, 자기소개서, 수상경력, 교육사항, 추천서, 포트폴리오를 제출했다. 각..

Best of the Best 2024.07.08 1

[Business H4C] P4C 8기 수료 후기

P4C본글은 Business H4C의 교육 프로그램인 빡공팟(P4C) 8기 디지털포렌식 트랙 수료 후기를 다룬 글이다. 필자가 수료한 P4C 커리큘럼은 '레드코스 Survival Plan(S:P)'이기 때문에, 본 글은 'Survival Plan(S:P)'을 기준으로 설명한다. 또한 P4C의 보안 정책으로 인하여 내부 과제, 수료시험, 커리큘럼, 질문답변 내용은 일절 다루지 않는다. 선발 과정P4C의 선발 과정은 서류 심사, 면접 심사로 나뉜다. - 서류 심사 : 자기소개서 평가. 필자의 경우 자기소개서를 2,000자 내외로 작성했으며, 구성으로는 자기소개, 현재까지 학습한 내용, 지원 동기를 적었다. - 면접 심사 : 진정성, 집중성, 학습 가치관 평가. 자기소개서 내용을 기반으로 질문하고 답하는 형식..

H4C 2024.06.26 11

[Digital Forensic] Windows Google Chrome Browser Incognito Mode Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 Incognito Mode가 적용된 환경에서 아티팩트 분석을 진행하고, Incognito Mode 사용시 남게되는 아티팩트의 위치를 확인한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser를 Incognito Mode로 실행해 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있는 시나리오를 재현한다. 실습 환경에서의 시나리오 내용은 다음과 같고, 아래의 사진은 실습 환경 재현의 모습이다.1. 'Best..

[Digital Forensic] Android Google Chrome Browser History Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 Ext4 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Rooting이 진행된 Android의 S7(SM-G930S) 기기에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존..

[Digital Forensic] Memory Forensic Volatility 3

Memory ForensicMemory Forensic은 현재 PC에서 실행 중인 프로세스 및 비휘발성 데이터에 기록되지 않는 휘발성 데이터를 분석할 수 있기 때문에 Memory Forensic은 중요한 과정으로 여겨진다. 본 글은 Memory Forensic 분석 도구로 유명한 Volatility 3의 명령어를 정리한 글이다.   0. Output settings0-1. OutputOutput : Volatility 3 명령어에서 분석 결과가 Sting인 경우 파일로, 여러개의 파일인 경우 폴더로 분석 결과를 출력하는 명령어python.exe vol.py -f "Memory dump file path" windows."Plug-in" > "Save directory path\file name"pyth..

Volatility 3 2024.05.07 0