DF_m@ster

Registry, Hive File디스크 분석 과정에서 레지스트리 분석은 사용자가 시스템에서 어떤 활동을 했는지 매우 다양한 정보를 확인할 수 있기 때문에 중요한 과정으로 여겨진다. Registry는 사용자의 행동과 사용자 정보를 저장하는 계층형 데이터 베이스이다. Registry는 Hive File로 관리된다. Hive File은 레지스트리 데이터 베이스 정보(키 값)들을 논리적인 구조로 저장하는 파일이다.   Extract Hive File레지스트리 분석을 수행할 때, 대상 디스크가 이미지 파일인 경우 이를 '비활성화 상태'로 지칭하며, 분석을 시작하기 전에 먼저 하이브 파일을 추출하는 과정이 필요하다. 이러한 이유로 디스크 이미지파일에서 하이브 파일을 추출 할 줄 알아야한다. REGA에서 하이브 파..

Write Protect디지털 포렌식에서는 쓰기 방지가 필수적인 요소이다. 이 기술은 증거로 사용되는 디스크의 데이터 이미징과 원본 데이터의 무결성을 유지하는 데 사용된다. 원본 디지털 증거에 쓰기 방지를 적용하고 이미징 작업을 한 이후에, 원본 디지털 증거와 이미징된 디지털 증거의 해시 값으로 증거의 무결성를 입증함으로써, 디지털 증거가 법적 효력을 갖출 수 있게 된다.  Windows 레지스트리 Write Protect1. Win + r → regedit 검색 2. HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → StorageDevicePolicies (키 생성) - Control에서 "StorageDevicePolicies" 키 생성 3. ..

1. 기본 화면     2. New Case1. New Case → Case Information → Optional information - Case Information    Case Name: 해당 사건 분석 저장 디렉터리 이름    Base Directory: Autopsy 사건 분석 저장 디렉토리 경로        (C 드라이브를 제외한 드라이브 추천, 혹시 모를 재부팅으로부터 데이터 보호) - Optional information    Case, Examiner, Organization 생략 가능 2. Select Host - Generate new host name based on data source name: 기본 값 선택 3. Select Data Source Type분석할 디스크의 데..

1. 기본 화면     2. 파일 열기 및 디스크 이미지 파일 열기1. 파일  → 열기 - 일반 파일 열기 (섹터 구분 X) 2. 도구 → 디스크 이미지 열기 - 디스크 이미지 파일 열기 (섹터 구분 O)     3. 블록 선택 및 선택 영역 채우기1. 우클릭 → 블록 선택 → 시작 오프셋, 종료 오프셋 입력 → 영역 선택 됨 2. 우클릭 → 선택 영역 채우기 → 데이터 입력 → 데이터 입력 됨     4. 데이터 비교1. 분석 → 데이터 비교 → 비교 → 비교할 두 파일 경로 지정 → 비교 분석 됨     5. 메인 메모리 및 디스크 열기1. 도구 → 메인 메모리 열기 → 참조할 메모리 선택 2. 분석 → 디스크 열기 (관리자 권한 필요) → 참조할 디스크 선택      6. 데이터 검색 1. 찾기 →..

1. 기본 화면1. Evidence Tree: 디스크 증거를 트리구조로 제공2. File List: Evidence Tree에서 선택한 항목(파일, 폴더) 정보 제공3. Properties: Evidence Tree이나 File List에서 선택한 항목의 다양한 정보 제공 - 디스크: Cylinders (Pysical), Tracks per Cylinder (Pysical), Sector per Track (Pysical), Bytes per Sector, Sector Count - 파티션: Starting Sector, Sector Count - 파일 시스템: Cluster Size, Cluster Count4. Viewer: Evidence Tree이나 File List에서 선택한 항목의 Previe..