$ 포렌식 $/$ 포렌식 기술적 이론 $
-
Time Information Expressions(시간 정보 표현)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 6. 22:25
디지털 데이터에서 절때 빠질수 없는 시간 정보를 표현하는 방식에 대해서 이야기 해보려고 합니다. 필자 같은 경우에는 공부하면서 시간 정보를 표시하는 HEX값이 나타난다면 dcode.exe 라는 시간 변환 툴을 이용해서 복호화만 하고 넘기기 일수 였습니다. 하지만 해당 HEX값이 어떻게 복호화가 되는지 알아보게 되었습니다. HEX 값이 어떤 구조를 가지는가도 중요하지만 어떤 종류의 시간 정보 표현이 존재 하는지 먼저 알아 보겠습니다. GMT( 그리니치 표준시 ) GMT(Greenwich Mean Time )의 약자로 영국 런던 외각쪽에 위치한 그리니치 천문대를 기준으로 한 기준이 되는 태양 시 입니다. 많은 천문대를 놔두고 굳이 그리니치 천문대를 태양시의 기준 으로 지정한 이유는 경도 0도에 위치해 있기 ..
-
운영체제 설치 시간 분석(Operating System Install Date Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 5. 22:31
운영체제 설치 시간의 포렌식적 의미 포렌식적 의미를 바탕으로 보았을때 운영체제 설치 시간은 중요한 역할을 하기도 합니다. 용의자가 증거 은폐를 위해서 Format 또는 완전 삭제를 하기 위해서 운영체제를 새로 설치 하는 경우가 있습니다. 자신이 증거를 은폐했다는 사실을 숨기는 경우가 있는데 이때 운영체제 설치 시간이 유용하게 사용할 수 있다. 운영체제 설치 시간이 사건 발생 시간 이후로 변경이 되어 있는데도불구하고 발생 이전부터 계속해서 해당 운영체제를 쭉 사용해 왔다고 할 수 있다. 또한 모든 파일은 운영체제 설치 시간 이후의 TimeStamp를 가지고 있어야 하는데 그렇지 않은 파일이 존재 한다면 용의자(사용자)가 의도적으로 운영체제 설치 시간을 수정 했을 가능을 성을 가진다. 하지만 다른 저장매체에..
-
점프 목록 포렌식(Jump List Forensic)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 25. 13:46
점프 목록(Jump List)이란 무엇일까?? 윈도우 7 에서 새롭게 추가된 기능 응용프로그램을 사용할때 사용한 로그를 표현해주는 목록 3가지 - 최근 접근 문서(Recent) 폴더 와 RecentDocs 레지스트리 키 - UserAssist 레지스트리 키 - 점프 목록 위의 로그를 표현해주는 목록 3가지 중 점프목록에 대해서 이야기 해보려고 합니다. ↑ 윈도우 7에서의 점프 목록 ↑ 윈도우 10에서의 점프 목록 위의 사진이 제 노트북의 파일 탐색기 점프 목록 입니다. (저의 사생활이 들어있...) 작업표시줄에 있는 응용프로그램을 우클릭 해보면 점프 목록을 확인해 보실 수 있습니다 점프목록의 종류로는 4가지가 존재 합니다. 1. Recent : 사용자가 최근 접근한 파일이나 폴더를 의미합니다. 2. Fr..
-
LNK File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 22. 22:06
LNK File 이란? LNK File은 Shell Link나 Shortcut이라고 불리는 Link File 구조체 라고도 이야기를 하는데 다른 데이터들의 접근하는데에 필요한 정보를 가지고있는 데이터 입니다. Shell Link Binary File Format은 확장자가 .LNK 인 윈도우 파일 포맷 입니다. Shell Link는 보통 응용프로그램을 실행하거나 OLE 같은 시나리오를 Linking을 제공하기 위해서 사용하는것 뿐만아니라 파일에 대해 참조를 저장하는 기능을 필요로 하는 애플리케이션에 사용할 수도 있습니다. LNK File Format Shell Link Binary File Format의 구조를 보면 아래와 같습니다. 기본적으로 5개의 구조체로 이루어져 있는데, 각각의 Link File ..
-
OLE File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 16. 22:28
OLE File 이란? OLE 파일은 Object Linking & Embedding의 약자로 Microsoft Compound File Binary File format인 CFBF format 이라고도 불립니다. OLE File Structure OLE File은 크게 2개의 블록으로 나뉘는데 Header Block 과 Data Block 으로 나뉘어 집니다. 헤더 블록은 128byte * 2^N의 크기를 가지며, 그 이후로는 데이터 블록을 가지게 됩니다. 데이터 블록은 여러개의 섹터로 되어있습니다. 헤더도 하나의 섹터로도 불립니다. 결국 각각의 섹터들이 모여서 만들어 진것이 OLE File 입니다. 그렇다면 섹터로는 어떤 종류가 있는지 한번 알아 보겠습니다. 데이터 블록은 Stream Sector가 ..
-
슈퍼패치 파일 분석(Superfetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 11. 11:19
Superfetch File 이란? 프리패치 파일(Prefetch File)의 문제점을 개선하기 위해서 만들어진 파일입니다. 프리패치 문제점 - 프리패치는 응용프로그램 실행 전 미리 메모리에 로딩하는 기술입니다. -> 메모리를 이용한 빠른 실행의 목적을 가진 파일 - 메모리의 한계로 인해서 메모리에 로딩된 프리패치 데이터는 페이질 파일로 이동하게 되었습니다. - 다시 응용프로그램 실행시 페이징 파일부터 로딩을 시작하기 때문에 성능 저하를 불러오게 됩니다. 위처럼 프리패치 파일(Prefetch File)에 있어서 문제점이 발생하게 되서 슈퍼패치 파일(Superfetch File)이 등장을 하게 됩니다. 슈퍼패치 파일(Superfetch File) 개선점 - 사용자의 프로그램 사용 패턴(얼마나 자주, 언제,..
-
CSV 파일을 SQLite Studio로 넣어서 확인하기$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 8. 20:55
CSV 파일은 Microsoft Execl 응용프로그램으로 열수 있는 파일입니다. Excel 파일 특성상 데이터가 많거나 한 셀에 방대한 데이터가 들어가게 되면 프로그램이 멈춘뒤 꺼지는 현상이 나타납니다. 그럴때 csv 파일을 SQLite Studio에 넣어서 깔끔한 View로 확인 할 수 있습니다. 먼저 SQLite Studio를 설치 해 보겠습니다. 설치 주소 : https://sqlitestudio.pl/index.rvt?act=download 프로그램을 실행한뒤 Database -> Add a Database 를 이용해서 db를 하나 만듭니다. Database를 확인해 보면 아래와 같습니다. Tables 에 아무것도 없기 때문에 테이블을 만들고 csv 파일을 import 할 예정입니다. table..
-
프리패치 파일 분석(Prefetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 18:47
해당 글에서의 부족한 부분과 내용을 추가하여 아래의 URL로 이동하였습니다! URL : blog.forensicresearch.kr/23 Prefetch File Structure Analysis 이번에 알아볼 구조는 프리패치 파일 입니다. 프리패치 파일이란? 시스템에서 실행된 응용프로그램을 분석할때 유용한 파일로, Windows 에서만 존재 하는 파일로 응용프로그램이 처음 사용되는 blog.forensicresearch.kr blog.forensicresearch.kr 블로그도 많이 사랑해 주세요!