DF_m@ster

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 Incognito Mode가 적용된 환경에서 아티팩트 분석을 진행하고, Incognito Mode 사용시 남게되는 아티팩트의 위치를 확인한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser를 Incognito Mode로 실행해 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있는 시나리오를 재현한다. 실습 환경에서의 시나리오 내용은 다음과 같고, 아래의 사진은 실습 환경 재현의 모습이다.1. 'Best..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 Ext4 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Rooting이 진행된 Android의 S7(SM-G930S) 기기에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존..

Memory ForensicMemory Forensic은 현재 PC에서 실행 중인 프로세스 및 비휘발성 데이터에 기록되지 않는 휘발성 데이터를 분석할 수 있기 때문에 Memory Forensic은 중요한 과정으로 여겨진다. 본 글은 Memory Forensic 분석 도구로 유명한 Volatility 3의 명령어를 정리한 글이다.   0. Output settings0-1. OutputOutput : Volatility 3 명령어에서 분석 결과가 Sting인 경우 파일로, 여러개의 파일인 경우 폴더로 분석 결과를 출력하는 명령어python.exe vol.py -f "Memory dump file path" windows."Plug-in" > "Save directory path\file name"pyth..

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 NTFS 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있게 재현하고 이후 '인터넷 사용..

Thumbcache File Forensic디지털 포렌식에서 기기에 저장된 그래픽 파일을 활용해 범죄 혐의를 입증 할 수 있다. 하지만 안티 포렌식으로 인해 원본 그래픽 파일이 부재된 경우 Thumbcache 파일을 분석해 부재된 그래픽 파일을 대신하여 범죄 혐의 입증에 사용할 수 있다. 때문에 Thumbcache 파일의 구조와 삭제 정책을 상세하게 이해할 필요가 있다. 본 문단은 안드로이드에서 기본적으로 제공하는 갤러리의 Thumbcache 파일 생성 및 삭제 정책과 Thumbcache 파일에서 Thumbnail 파일 추출 및 추출된 Thumbnail 파일의 원본 파일 연관성 증명 방법을 정의한다.   Thumbcache File ScenarioThumbcache 파일의 구체적인 생성 및 삭제 정책을 ..