DF_m@ster

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 Ext4 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Rooting이 진행된 Android의 S7(SM-G930S) 기기에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 NTFS 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있게 재현하고 이후 '인터넷 사용..

Thumbcache File Forensic디지털 포렌식에서 기기에 저장된 그래픽 파일을 활용해 범죄 혐의를 입증 할 수 있다. 하지만 안티 포렌식으로 인해 원본 그래픽 파일이 부재된 경우 Thumbcache 파일을 분석해 부재된 그래픽 파일을 대신하여 범죄 혐의 입증에 사용할 수 있다. 때문에 Thumbcache 파일의 구조와 삭제 정책을 상세하게 이해할 필요가 있다. 본 문단은 안드로이드에서 기본적으로 제공하는 갤러리의 Thumbcache 파일 생성 및 삭제 정책과 Thumbcache 파일에서 Thumbnail 파일 추출 및 추출된 Thumbnail 파일의 원본 파일 연관성 증명 방법을 정의한다.   Thumbcache File ScenarioThumbcache 파일의 구체적인 생성 및 삭제 정책을 ..

보호되어 있는 글입니다.

Ext4 File System File Recovery본 문단은 안드로이드의 Ext4 파일 시스템에서 파일 삭제 정책을 토대로 파일 복구 과정을 정의하고, 삭제된 파일 복구 과정을 정리한 글이다. 파일 복구 실습은 두 가지 파일로 나누어 진행한다. 첫 번째 복구의 경우 Extent 내부에 Extent Entry가 하나 존재하는 파일 단편화가 일어나지 않은 파일이다.두 번째 복구의 경우 파일 단편화가 5번 이상 일어나, Extent Depth가 1 이상인 파일의 복구이다. 아래는 복구 실습에 사용한 두 파일의 기본적인 정보이다.File NameSizeExtent Entry CountExtent Depth20240302_135410.jpg1,941 KB(1,986,687 Byte)1020240302_1354..

Test$MFT, $LogFile, $J의 구체적은 구조, 생성, 삭제 과정을 확인하기 위해 파일 생성 및 삭제 과정을 시나리오 테스트로 진행하였다.구체적인 시나리오는 'logo_image.png'라는 해당 블로그의 로고 이미지를 저장, 삭제, 휴지통 삭제의 세 가지 과정으로 진행하였다. 0. NTFS 구조아래는 디스크의 MBR로 1번 Partition Table Entry만 존재하며, 해당 파티션의 Partition Type이 0x07(NTFS) 임을 확인할 수 있다. 추가로 Start Sector는 0x80(128) 번 섹터이다. 128번 섹터에 NTFS의 VBR이 존재한다. VBR의 BPB에서 $MTF Start Cluster 값(0x63 00 = 25,344)을 참조하여, $MFT 영역으로 접근한..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 Incognito Mode가 적용된 환경에서 아티팩트 분석을 진행하고, Incognito Mode 사용시 남게되는 아티팩트의 위치를 확인한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser를 Incognito Mode로 실행해 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있는 시나리오를 재현한다. 실습 환경에서의 시나리오 내용은 다음과 같고, 아래의 사진은 실습 환경 재현의 모습이다.1. 'Best..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 Ext4 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Rooting이 진행된 Android의 S7(SM-G930S) 기기에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존..

Memory ForensicMemory Forensic은 현재 PC에서 실행 중인 프로세스 및 비휘발성 데이터에 기록되지 않는 휘발성 데이터를 분석할 수 있기 때문에 Memory Forensic은 중요한 과정으로 여겨진다. 본 글은 Memory Forensic 분석 도구로 유명한 Volatility 3의 명령어를 정리한 글이다.   0. Output settings0-1. OutputOutput : Volatility 3 명령어에서 분석 결과가 Sting인 경우 파일로, 여러개의 파일인 경우 폴더로 분석 결과를 출력하는 명령어python.exe vol.py -f "Memory dump file path" windows."Plug-in" > "Save directory path\file name"pyth..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 NTFS 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있게 재현하고 이후 '인터넷 사용..

Thumbcache File Forensic디지털 포렌식에서 기기에 저장된 그래픽 파일을 활용해 범죄 혐의를 입증 할 수 있다. 하지만 안티 포렌식으로 인해 원본 그래픽 파일이 부재된 경우 Thumbcache 파일을 분석해 부재된 그래픽 파일을 대신하여 범죄 혐의 입증에 사용할 수 있다. 때문에 Thumbcache 파일의 구조와 삭제 정책을 상세하게 이해할 필요가 있다. 본 문단은 안드로이드에서 기본적으로 제공하는 갤러리의 Thumbcache 파일 생성 및 삭제 정책과 Thumbcache 파일에서 Thumbnail 파일 추출 및 추출된 Thumbnail 파일의 원본 파일 연관성 증명 방법을 정의한다.   Thumbcache File ScenarioThumbcache 파일의 구체적인 생성 및 삭제 정책을 ..