Windows Forensic 31

[Digital Forensic] REGA 사용법

Registry, Hive File디스크 분석 과정에서 레지스트리 분석은 사용자가 시스템에서 어떤 활동을 했는지 매우 다양한 정보를 확인할 수 있기 때문에 중요한 과정으로 여겨진다. Registry는 사용자의 행동과 사용자 정보를 저장하는 계층형 데이터 베이스이다. Registry는 Hive File로 관리된다. Hive File은 레지스트리 데이터 베이스 정보(키 값)들을 논리적인 구조로 저장하는 파일이다.   Extract Hive File레지스트리 분석을 수행할 때, 대상 디스크가 이미지 파일인 경우 이를 '비활성화 상태'로 지칭하며, 분석을 시작하기 전에 먼저 하이브 파일을 추출하는 과정이 필요하다. 이러한 이유로 디스크 이미지파일에서 하이브 파일을 추출 할 줄 알아야한다. REGA에서 하이브 파..

[Digital Forensic] Web Browser Log Information Analysis

디스크 분석 과정에서 웹 브라우저 로그 분석은 어떤 사용자가 어떤 브라우저에서 어떤 활동을 했는지 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 웹 브라우저 로그 분석으로 Web Cache, Web Cookie, Download, Web History, Bookmark, Web Search 로그 정보를 확인할 수 있다. Web Cache: 브라우저 실행에 필요한 데이터(HTML, 페이지 이미지 등)의 사본을 의미한다. 자주 접속하는 브라우저의 리소스를 로컬에 저장하여, 서버 부하를 줄이고 지연시간을 감소시키는 목적으로 사용된다. 웹 캐시가 있는 브라우저를 방문하면, 인터넷에서 브라우저 실행에 필요한 데이터를 불러오는 것이 아니라, 로컬의 캐시에서 필요한 데이터를 불러온다.Web Cookie: 브라우저..

[Digital Forensic] USB Connection Information Analysis

디스크 분석 과정에서 USB 연결 분석은 어떤 USB가 어떤 사용자 계정에 연결되었는지 확인할 수 있기 때문에 중요한 분석으로 여겨진다. USB 연결 분석으로 연결했던 USB 이름, USB 시리얼 넘버, USB GUID, USB Device Class ID, USB Unique Instance ID, USB 최초 연결 시간, USB 마지막 연결 시간, USB가 연결되었던 사용자 계정 등의 정보가 확인 가능하다. USB 시리얼 넘버: 제조업체가 USB 장치마다 할당한 고유한 식별자로, 같은 USB 장치를 다른 PC에 연결해도 동일한 값을 갖는다.USB GUID: 이는 장치의 클래스 또는 유형을 나타내는 값으로, 장치 자체에 고유하다. 따라서, 같은 USB의 클래스 또는 유형 장치를 다른 PC에 연결해도 동..

[Digital Forensic] Print Information Analysis

Spool File: 사용자가 프린트 작업을 실행하면, 컴퓨터가 프린트 내용을 프린터로 보내기 전에 임시 저장하는 파일이다. 프린터가 준비되면, 스풀 파일들은 순차적으로 프린터로 전송되어 인쇄 작업이 이루어지고 인쇄가 완료되면 Spool File은 삭제된다. 디스크 분석 과정에서 이러한 Spool File의 존재는 중요한 이벤트로 여겨진다. Spool File의 분석으로 어떤 사용자가 어떤 프린터로 어떤 내용을 출력했는지를 확인할 수 있기 때문이다. Type of Spool FileSpool 방식은 두 가지로 'RAW' 방식과 'EMF' 방식으로 나뉜다. Spool 방식 변경 및 확인 방법으로는 '프린터 및 스캐너'에서 확인하려는 프린터를 선택하고 '프린터 속성'을 선택한다. 이후에 '고급' 항목을 선택..

[Digital Forensic] Link File Information Analysis

디스크 분석 과정에서 링크 파일의 발견은 중요한 이벤트로 여겨진다. 이는 사용자가 자주 접근한 파일일 가능성이 높으며, 원본 파일의 위치를 파악할 수 있기 때문이다. 링크 파일을 상세 분석하기 위해, 링크 파일의 구조와 링크 파일 분석 도구 사용법을 실습으로 진행했다. 실습을 위해, 100MB 용량의 디스크를 MBR로 초기화한 후, 동일한 크기의 NTFS 파티션을 만들었다. 추가적으로 Root Directory 이하에 'dir_1'과 'dir_2' 폴더를 생성하고, 'dir_1'에 'text.txt'(내용: 'Info'), 'dir_2'에 'test.txt - 바로가기. lnk' 파일을 저장했다. 아래는 Autopsy로 분석을 진행한 결과이다.   'dir_1' 이하에 'test.txt' 파일이 존재하고..