DF_m@ster

디스크 분석 과정에서 USB 연결 분석은 어떤 USB가 어떤 사용자 계정에 연결되었는지 확인할 수 있기 때문에 중요한 분석으로 여겨진다. USB 연결 분석으로 연결했던 USB 이름, USB 시리얼 넘버, USB GUID, USB Device Class ID, USB Unique Instance ID, USB 최초 연결 시간, USB 마지막 연결 시간, USB가 연결되었던 사용자 계정 등의 정보가 확인 가능하다. USB 시리얼 넘버: 제조업체가 USB 장치마다 할당한 고유한 식별자로, 같은 USB 장치를 다른 PC에 연결해도 동일한 값을 갖는다.USB GUID: 이는 장치의 클래스 또는 유형을 나타내는 값으로, 장치 자체에 고유하다. 따라서, 같은 USB의 클래스 또는 유형 장치를 다른 PC에 연결해도 동..

Spool File: 사용자가 프린트 작업을 실행하면, 컴퓨터가 프린트 내용을 프린터로 보내기 전에 임시 저장하는 파일이다. 프린터가 준비되면, 스풀 파일들은 순차적으로 프린터로 전송되어 인쇄 작업이 이루어지고 인쇄가 완료되면 Spool File은 삭제된다. 디스크 분석 과정에서 이러한 Spool File의 존재는 중요한 이벤트로 여겨진다. Spool File의 분석으로 어떤 사용자가 어떤 프린터로 어떤 내용을 출력했는지를 확인할 수 있기 때문이다. Type of Spool FileSpool 방식은 두 가지로 'RAW' 방식과 'EMF' 방식으로 나뉜다. Spool 방식 변경 및 확인 방법으로는 '프린터 및 스캐너'에서 확인하려는 프린터를 선택하고 '프린터 속성'을 선택한다. 이후에 '고급' 항목을 선택..

압축 파일의 구조와 현대의 마이크로소프트 오피스 문서 파일(예: docx, xlsx, pptx, hwpx)의 구조는 동일하다. 이는 파일 크기를 줄이고, 텍스트, 이미지, 메타데이터와 같은 다양한 데이터를 보다 효율적으로 관리하기 위함이다. 이러한 이유로, 오피스 문서 파일을 압축 해제하면 파일의 내용을 직접 확인이 가능하다.   Zip File Structure압축 파일의 구조는 크게 File Area, Central Directory Area, End of Central Directory로 나뉜다.File Area: File Entry의 집합으로, 하나의 File Entry는 압축 파일에 포함된 하나의 파일 이름, 파일 데이터, 파일 메타 데이터 등을 포함한 Entry를 의미한다.Central Dir..

분석하려는 파일이 손상됨을 확인하거나, 파일 추출 이후에 파일이 열리지 않을 때, 파일 복구가 필요하다. 이러한 경우, 파일의 헤더 시그니처를 활용하여 복구해야 하며, 파일 안티 포렌식은 주로 세 가지 경우가 존재한다.첫 번째: 파일의 확장자가 변조되어 헤더 시그니처와 일치하지 않는 경우 (헤더 시그니처 변조 X)두 번째: 파일의 헤더 시그니처가 변조된 경우 (확장자 변조 X) 위에서 언급한 두 가지 경우를 직접 복구해 보기 위해 디스크를 생성하였다.실습에 사용한 디스크의 정보이다. Root Directory 이하에 'File Recovery'라는 디렉터리를 생성하였고, 추가적으로 'File Recovery' 디렉터리 이하에 위에서 언급한 경우의 파일 훼손을 적용한 4개의 파일 '훼손_1.hwp', '훼..

파일의 시작과 끝을 구별하는 데 사용되는 헤더 시그니처와 푸터 시그니처는 파일의 기본 구조를 정의한다다. 이러한 파일 시그니처는 단순히 파일의 시작과 종료 지점을 나타내는 것을 넘어서, 해당 파일의 확장자를 식별하는 역할을 한다. 즉, 다양한 파일 확장자마다 고유한 헤더, 푸터 시그니처가 존재하며, 디지털 포렌식 분야에서는 이러한 파일 시그니처가 특히 중요하다. 헤더 시그니처와 푸터 시그니처를 통해 파일의 손상 여부, 확장자 변경, 스테가노그래피 같은 숨겨진 정보를 발견할 수 있다.  아래는 흔히 쓰이는 파일 확장자들을 직접 생성하여 파일의 헤더, 푸터 시그니처를 확인여 표로 정리해 둔 결과이다.   1. PDFHeader Signature25 50 44 46%PDFFooter Signature25 25..