반응형

Windows Forensic 31

[Digital Forensic] Windows Google Chrome Browser Incognito Mode Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 Incognito Mode가 적용된 환경에서 아티팩트 분석을 진행하고, Incognito Mode 사용시 남게되는 아티팩트의 위치를 확인한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser를 Incognito Mode로 실행해 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있는 시나리오를 재현한다. 실습 환경에서의 시나리오 내용은 다음과 같고, 아래의 사진은 실습 환경 재현의 모습이다.1. 'Best..

[Digital Forensic] Windows Google Chrome Browser History Analysis

Browser Forensic디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다. 본글은 Google의 Chrome 브라우저를 대상으로 History 삭제 정책을 확인하고, 이를 토대로 NTFS 파일 시스템에서의 History 복원 정책을 정의한다. 이후에 History 복원 정책을 토대로 '인터넷 사용 기록 삭제'가 적용된 환경에서 실제 아티팩트 분석을 진행해 정보 추출 가능 여부를 정의한다.     Scenario본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser의 실습 환경은 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있게 재현하고 이후 '인터넷 사용..

[Digital Forensic] BitLocker Recovery Analysis

BitLocker Recovery Analysis비트라커가 적용된 파티션 복구를 실습하기 위해 먼저 상황을 재현하였다. 일반적으로 특정 파티션을 비트라커로 암호화하고 해당 비트라커의 복구키를 다른 파티션에 저장하는 문제들이 많아 해당 상황을 재현하였다. 아래는 실습할 디스크의 모습으로, 총 203MB 크기의 디스크를 MBR로 초기화하고, 100MB 크기의 파티션을 두 개 생성하였다. 첫 번째 파티션(E:\)의 Root Directory이하에 'Key' 디렉터리를 만들고, 해당 디렉터리에 두 번째 파티션(F:\)의 비트라커 복구키 파일을 저장하였다. 두 번째 파티션(F:\)의 Root Directory이하에 'Directory' 디렉터리를 만들고, 해당 디렉터리에 본교의 정보보안 동아리 로고 이미지 파일을..

[Digital Forensic] Registry "Program & Network Information" Analysis

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 프로그램 정보, MRU 정보, 네트워크 정보 확인 방법을 정리하여 실습한 글이다.   Program Information1. 설치된 응용프로그램 정보경로: '도구 상자'의 '설치된 응용 프로그램' 항목 선택확인 가능한 정보: 설치된 응용 프로그램 정보(Chrome, Microsoft Edge 확인 가능)   2. 설치된 프로그램 목록 정보경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall확인 가능 정보: 응용 프로그램의 SID, 프로그램의 이..

[Digital Forensic] Registry "System & User Information" Analysis

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 시스템 정보, 사용자 정보 확인 방법을 정리하여 실습한 글이다.   System Information1. 윈도우 설치 정보'도구 상자'의 '윈도우 설치 정보' 항목을 선택하면 윈도우 설치 관련 정보를 확인할 수 있다.확인 가능한 정보: 운영체제 이름(Product Name), 사용자 이름(Owner), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(Product Version), 조직 이름(Organization), 운영체제 설치 날짜(Install Date), 운영체제 설치 루트..

반응형