DF_m@ster

Disk Information증거 분석 할 디스크의 정보는 파일시스템과 파일을 상세 분석 할 때 핵심적인 정보가 된다. 이러한 이유로 디스크 정보를 확인할 줄 알아야 하며, 확인할 수 있는 정보로는 디스크 크기, 디스크 섹터 수, 디스크 클러스터 수, 섹터 크기, 디스크 해시 값(무결성), 파티션 시작 섹터, 파티션 총 섹터, 볼륨 이름, 볼륨 시리얼 넘버 등의 정보가 있다. 또한, 증거 분석 할 디스크가 USB일 경우 USB 이미징 이후에 USB 제조사, 모델명도 확인 가능하다. 테스트를 위해 300MB 크기의 디스크를 MBR로 초기화하고, 150MB 크기의 NTFS 파티션과 150MB 크기의 FAT32 파티션으로 생성하였다. 1. 디스크 정보디스크 정보는 FTK Imager와 Autopsy로 확인할 ..

BitLockerBitLocker: 마이크로소프트 윈도우 시스템에 내장된 데이터 암호화 기능이다. 이 기능은 하드 드라이브의 전체 또는 일부를 암호화하여 데이터를 보호한다. 사용자는 비밀번호나 복구 키를 사용하여 암호화된 드라이브에 접근할 수 있다. 아래는 암호를 사용하여 드라이브에 비트라커를 적용하고 암호화된 드라이브를 키로 여는 과정이다.'BitLocker 드라이브 암호화' 시스템으로 이동하고, 암호화하려는 드라이브의 'BitLocker 켜기'를 선택한다. 추가적으로 '암호를 사용하여 드라이브 잠금 해제'를 선택하고 암호를 입력하면 아래처럼 복구 키를 어떻게 백업할지 선택하는 창이 나타난다.먼저 비트라커의 키에 대하여 설명하면, 드라이브를 복호화할 수 있는 키는 두 가지 종류가 있다. 하나는 처음 입..

Partition Analysis분석하려는 디스크의 특정 파티션에 접근이 불가능할 때, 파티션 복구가 필요하다. 파티션 복구가 필요한 경우에는 MBR의 Partition Entry가 훼손된 경우와 VBR의 Boot Sector가 훼손된 경우로 두 가지가 있다. 이 경우 FTK Imager에서 Evidence Tree에 디스크를 업로드했을 때, 각각 Recoverd, Unrecognized File System으로 표기된다. 두 경우 모두 E01 파일로는 복구가 불가능하며, RAW(dd) 파일로 만 복구가 가능하다. Recoverd, Unrecognized File System의 경우를 직접 훼손하여 적용해 보고 복구해 보기 위해 디스크를 생성하였다.디스크는 Partition 1(이름: 첫 번째, 40MB..

Test$MFT, $LogFile, $J의 구체적은 구조, 생성, 삭제 과정을 확인하기 위해 파일 생성 및 삭제 과정을 시나리오 테스트로 진행하였다.구체적인 시나리오는 'logo_image.png'라는 해당 블로그의 로고 이미지를 저장, 삭제, 휴지통 삭제의 세 가지 과정으로 진행하였다. 0. NTFS 구조아래는 디스크의 MBR로 1번 Partition Table Entry만 존재하며, 해당 파티션의 Partition Type이 0x07(NTFS) 임을 확인할 수 있다. 추가로 Start Sector는 0x80(128) 번 섹터이다. 128번 섹터에 NTFS의 VBR이 존재한다. VBR의 BPB에서 $MTF Start Cluster 값(0x63 00 = 25,344)을 참조하여, $MFT 영역으로 접근한..

$J$J: NTFS의 로그 파일로, 로그에는 파일의 생성, 이름 수정, 삭제와 같은 파일의 변경사항이 포함된다. 구조는 단순히 레코드의 연속으로 이루어져 있으며, $J 파일은 오로지 변경사항만을 위해 기록된다. $UsnJrnl 파일의 ADS로 저장되어 있다. ($UsnJrnl:$J) 접근 방법으로는 $UsnJrnl의 MFT Entry에서 $Data(0x80)의 RunList를 참조하여 접근한다. 아래는 $J를 레코드별로 구분한 모습과 레코드의 필드에 대한표이다.OffsetInfo0x00 ~ 03Size of Record0x10 ~ 17Parent MFT Reference Number0x18 ~ 1FUSN(Update Sequence Number)0x20 ~ 27Time Stamp0x28 ~ 2BReaso..