Dalseung

Alternate Data Stream - macOS HFS 파일 시스템과의 호환성을 목적으로 처음 사용 - NTFS 파일 시스템에서 파일에 사용되는 기본 스트림 외에 다른 데이터 스트림을 추가로 저장할 수 있도록 하는 기능 - NTFS 파일 시스템에서는 파일이 $DATA 속성을 1개 이상 가질 수 있음 - 하나의 파일에 $DATA 속성이 여러개 올 수 있으며 추가적으로 존재하는 $DATA 속성을 ADS라고 함 ADS에는 텍스트 데이터를 은닉시키는 것은 물론, 실행 파일의 데이터 또한 은닉할 수 있기 때문에 악의적인 목적으로도 사용가능 많은 보안 솔루션들이 ADS영역까지 탐지, 하지만 최근에도 ADS를 활용하는 랜섬웨어가 존재하였음 ADS SAMPLE.txt(파일명) : Memo.txt(ADS식별자) A..

응용프로그램를 실행할때 속도를 향상시키기 위해 사용되는 파일 - 시스템에서 실행된 응용프로그램을 분석가능 - 프로그램 실행 횟수, 마지막 실행시간, 로드한 파일 목록 확인 가능 C:￦Windows￦Prefetch WinPrefetchView프로그램을 이용하여 Prefetch파일을 확인 가능 (FTK에서 Export했을 경우 Options-Advanced Options에서 Export한 Prefetch 파일의 경로를 설정) 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일 응용프로그램의 실행 정보 저장 응용프로그램의 실행경로, 최초 실행시간, 삭제시간 정보 등 저장 프로그램의 전체적인 타임라인 구성 가능 - 안티 포렌식 프로그램, 외부저장장치 흔적 추적 - 파일의 최초 실행시간, 삭제시간 확인 C:￦..

- 링크파일, 윈도우 운영체제에서 바로가기를 생성하는데 사용 - 바탕화면 외에 최근 문서 폴더, 시작프로그램, 빠른 실행 등 경로에서 수동, 자동으로 생성됨 - 최근 문서 폴더에서는 최근에 사용자가 실행했던 파일 및 폴더에 대한 LNK파일이 자동 저장 C:￦Users￦Public￦Desktop C:￦Users￦￦AppData￦Roaming￦Microsoft￦Windows￦Recent C:￦Users￦￦AppData￦Roaming￦Microsoft￦Internet Explorer￦Quick Launch C:￦Users￦￦AppData￦Roaming￦Microsoft￦Windows￦Start Menu UFTLnkParser를 이용하여 파일 분석 포렌식적으로 의미있는 값 - File Attributes : 파..

Bytes per Sector : 1섹터 당 byte 크기 Sector Per Cluster : 1클러스터 당 Sector 개수 Reserved Sector Count : 예약섹터 개수 Number of FAT : FAT 개수 Media type : 저장매체 타입 FAT Size 32 : FAT 1개 영역 섹터 개수 Root Directory Cluster : 루트 디렉토리의 클러스터 개수 7개 영역을 채워넣으면 된다. [구하는 방법] Bytes per Sector은 일반적으로 512byte (0x0200) Sector Per Cluster은 파티션의 크기를 통해 유추 가능하다.(계산 필요) Reserved Sector Count은 FAT영역 섹터를 검색을 통해 찾은 다음 BR 위치 섹터를 빼서 계산(계..

파일 복구의 원리 파일 시스템에서 우리는 파일의 정보가 담긴 메타데이터를 통해 파일에 접근한다. 그러나 Shift + Delete와 같이 영구 삭제를 하면 데이터는 남아있지만 메타 데이터는 지워지게 된다. 여기서 좀 더 들어가게 된다면 파일이 삭제가 될 때 BITMAP 속성에서 해당 파일이 사용했던 MFT Entry bit가 0으로 변경되고 bitmap 파일의 DATA속성에서 해당 파일에 할당되었던 클러스터 bit가 0으로 변경된다. 따라서 내용이 새롭게 덮여지지 않는 한 복구가 가능하다. 즉, 데이터는 살아있고 파일 데이터로 가기 위한 연결이 끊어지는 것이라 생각을 하면 된다. 파일 복구 실습 먼저 파일 복구를 하기 위해선 데이터 속성에 대해서 알아야 하는데, 지금은 파일 복구가 주된 내용이기 때문에 ..

VBR VBR가 부트섹터와 섹터의 크기, 볼륨의 총 섹터, 클러스터의 크기 등의 정보를 저장하는 부분이다. VBR 구조 점프 코드 : EB 52 90 OEM ID : 4E 54 46 53 20 20 20 20 섹터 당 바이트 수 : 00 02 클러스터 당 섹터 수 : 08 Reserved sector count : 00 00 Total Sector : FF A7 3C 3A 전체 섹터의 수를 나타낸다. VBR에서 확인한 총 섹터의 값이 MBR에서 확인 한 총 섹터의 크기보다 1이 작은데 그 이유는 백업본이 섹터의 제일 마지막에 위치해 있기 때문이다. 백업본(1 Sector) + VBR에 있는 총 섹터 = MBR에 있는 총 섹터 $MFT가 시작하는 위치 클러스터 : 03 00 00 00 00 00 00 00..

파일 시스템 분석의 의의 슬랙 공간 분석 RAM Slack 파일이 섹터 단위로 나누어 떨어지지 않아서 생기는 슬랙 Drive Slack 파일이 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙 File System Slack 저장매체의 물리적 크기가 클러스터 단위로 나누어 떨어지지 않아서 생기는 슬랙 Volume Slack 전체 볼륨 크기와 할당 된 파티션 크기의 차이로 발생하는 낭비 공간 시간 정보 분석 $FILE_NAME $STANDARD_INFORMATION 시그니처 분석 파일 시그니처와 확장자가 일치하는지 검사 확장자 변경을 통해 의도적인 파일 은폐 가능성 $FileNAME 로그 정보 분석 사건 발생 시점의 파일 시스템 변경 사항들을 모아둔 로그를 활용하여 행위를 파악 $LogFile 비 할당..

파티션 복구 실습 준비물 NTFS.001파일(실습 파일) FTK imager HxD FTK imager 보시다시피 아무것도 나와있지 않는 상태이다. 심지어 Partition 1을 누르면 떠야할 VBR도 보이지 않는 상태이다. HxD로 까보자 HxD MBR의 모습이다. 다행히 MBR은 잘 보인다. MBR - Partition table analysis Bootable Flag : 00 0x80이 아닌 0x00이므로 부팅 파티션이 아니다 Starting CHS Addr : 02 03 00 현재 LBA주소지정방식이므로 여기선 쓸모없음 Partition Type : 07 0x07일경우 NTFS 파일 시스템이다. Ending CHS Addr : 61 1B 06 현재 LBA주소지정방식이므로 여기선 쓸모없음 Star..

보호되어 있는 글입니다.

파일시스템 기초 HDD는 공간만 제공 따라서 제한된 공간을 체계적, 효율적으로 쓰기 위해 파일 시스템을 사용 파일개념 저장장치의 물리적특성을 추상화한 논리적 저장단위 컴퓨터에서 처리되는 다양한 정보를 저장 연속적인 논리 주소공간으로 구성 파일내의 정보의 의미나 형식은 작성자에 의해 정의 파일의 종류 프로그램 데이터: 숫자, 문자, 이진수의 배열 파일시스템 운영체제에 포함된 파일접근 및 관리모듈 저장장치에 구성된 파일들의 저장체계 파일의 온라인 접근과 저장을 위한 서비스 제공 저장장치의 구조 파티션 복잡한 관리를 위해 저장장치 공간을 세분화 개별 파일시스템의 크기 제한 하나의 저장장치에 여러개의 파일 시스템을 사용가능 별도의 스왑 혹은 포맷되지 않은 공간으로 활용 볼륨 파일시스템을 포함하는 개체 논리적인 ..