[2024.11.06]
[디지털 포렌식]
> 프로파일 분석
01. 디지털 증거 찾기
URL: http://www.hanrss.com
마지막 접근 시간: 2012-08-30 14:59:49
*IE 9 이하: Cache, History, Cookie, Download 경로가 따로 있다
IE 10 이상: %Profile\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
탐색기를 통하여 profile 디렉터리를 먼저 들어가게 되면,
계정이 7ester인 것을 알 수 있다
현재 7easter 사용자의 캐시를 이용하여 분석할 예정이다
IE10Analyzer 프로그램을 열어서 Open을 누르고,
위에서 확인한 캐시 데이터를 지정한다
시간을 지정하는 항목에서는 UTC +9로 설정한다
해당 파일을 열게 되면 히스토리 목록을 확인할 수 있으며
현재 519번으로 가장 많이 접근했던 URL을 살펴보면
http://www.hanrss.com이라는는 사이트를 확인할 수 있었다
해당 부분을 더블 클릭 하게 되면,
화면과 같이 URL도 확인할 수 있고
Accessed Time을 누르면 마지막 접속 시간을 확인할 수 있다
이로써 현재 가장 많이 접속한 URL과 마지막 접근 시간을 알아냈다
02. 파일 다운로드 분석
이번에는 down 파일을 FTK Imager로 열고,
root의 users에서 uTorrent 디렉터리를 찾아 토렌트 파일 확인한다
그 토렌트 파일을 추출하고
.torrent 파일의 내용을 읽고 수정할 수 있는 BEncode Editor를 열어
해당 토렌트 파일을 열어서 내용을 확인한다
확인하게 되면 바로 눈에 띄는 것이 토렌트 부분에서 경로를 확인할 수 있다
BEncode editor로 확인한 경로에서 확인 시 code gate에서 시드를 찾았다
경로: CodeGate > Roaming > Microsoft > Windows > Start Menu > Programs > Stratup
이번에는 root의 로그 파일과 MFT 파일을 추출한다
파일이 추출된 것을 확인하고
NTFS Log Tracker로 추출한 로그 파일과 MFT 파일을 지정 후
Parse를 선택하고 DB File명을 down으로 지정,
디렉터리를 지정하고 start를 누른다
NTFS 프로그램으로 추출된 파일을 확인하게 되면,
이런 식으로 CodeGate를 찾을 수 있다
메모장으로 다시 확인해 본다
Startup에 시드를 쓸 때 해당 부분인 것을 확인할 수 있다
현재 CodeGate가 다운로드를 받았다는 증거가 되며,
해당 파일은 시드 파일이다
1) 사용자 찾기
> admin, Codegate_Forensic
2) 토렌토 Settings 파일 추출
> Bencode 분석기
> 다운로드 경로 확인
3) $Logfile, $MFT 파일 추출
> NTFS Log Tracker 분석기
> DB 파일, CSV 파일 추출
> 엑셀로 확인(메모장)
> 시드 파일 확인
> 파일 다운로드 날짜/시간, 다운로드 경로
> 파일 생성, 삭제 확인
현재 한마디로 위와 같은 내용의 실습을 통해
다운로더를 기소할 수 있는 결정적인 증거를 찾았다고 보면 된다
강의 소감
이번 시간부터 본격적으로 포렌식에 들어갔으나,
해 보지 못했던 여러 프로그램들과 분석 및 추출을
반복해서 해야 되기 때문에 따라 가기 힘들었다
그렇지만 다시 집중하여 확인했을 때
예문에서 찾는 증거를 내 손으로 찾아낼 수 있었다
이렇게 디지털 포렌식을 진행함으로써
포렌식은 총집합체이고, 여러 프로그램과
반복적인 작업을 거쳐야 되는 복잡한 과정인 것을 알 수 있었다
하지만 포렌식을 진행하면서 증거물을 찾아내고
그런 결과물에서 또 다른 재미와 흥미를 느끼게 되었다
'디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 17 (0) | 2024.11.08 |
|---|---|
| 디지털 포렌식 16 (1) | 2024.11.08 |
| 디지털 포렌식 14 (5) | 2024.11.06 |
| 디지털 포렌식 13 (5) | 2024.11.06 |
| 디지털 포렌식 12 (0) | 2024.11.04 |
