$ 포렌식 $
-
LNK File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 22. 22:06
LNK File 이란? LNK File은 Shell Link나 Shortcut이라고 불리는 Link File 구조체 라고도 이야기를 하는데 다른 데이터들의 접근하는데에 필요한 정보를 가지고있는 데이터 입니다. Shell Link Binary File Format은 확장자가 .LNK 인 윈도우 파일 포맷 입니다. Shell Link는 보통 응용프로그램을 실행하거나 OLE 같은 시나리오를 Linking을 제공하기 위해서 사용하는것 뿐만아니라 파일에 대해 참조를 저장하는 기능을 필요로 하는 애플리케이션에 사용할 수도 있습니다. LNK File Format Shell Link Binary File Format의 구조를 보면 아래와 같습니다. 기본적으로 5개의 구조체로 이루어져 있는데, 각각의 Link File ..
-
Digital Forensic Challenge 2019 ART100 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 17. 14:07
문제를 보면 이미지 디스크 안에 들어있는 프리패치 파일과 이벤트 추적 로그를 분석하는 것이 문제인것 같습니다. 일단 프리패치파일(Prefetch File) 과 이벤트 추적 로그(Event Trace)에 대해서 먼저 알아보겠습니다. 1. Prefetch File? 일반적으로 응용 프로그램의 페이지를 미리 로드 하여 시스템 성능을 높이는 기능을 하는 파일을 프리패치 파일(Prefetch File) 이라고 이야기 합니다. 실행 파일이 사용하는 특정 파일을 미리 저장 해서 윈도우 부팅시에 프리패치 파일을 모두 메모리에 로드시켜서 실행속도를 향상시킵니다. 캐시 관리자는 모든 파일 및 디렉터리를 모니터링하고 .pf파일로 매핑을 하는데 각 .pf는 실행의 마지막 시간. 실행 횟구 및 프로그램 날짜/시간 파일에서 사용..
-
OLE File Structure$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 16. 22:28
OLE File 이란? OLE 파일은 Object Linking & Embedding의 약자로 Microsoft Compound File Binary File format인 CFBF format 이라고도 불립니다. OLE File Structure OLE File은 크게 2개의 블록으로 나뉘는데 Header Block 과 Data Block 으로 나뉘어 집니다. 헤더 블록은 128byte * 2^N의 크기를 가지며, 그 이후로는 데이터 블록을 가지게 됩니다. 데이터 블록은 여러개의 섹터로 되어있습니다. 헤더도 하나의 섹터로도 불립니다. 결국 각각의 섹터들이 모여서 만들어 진것이 OLE File 입니다. 그렇다면 섹터로는 어떤 종류가 있는지 한번 알아 보겠습니다. 데이터 블록은 Stream Sector가 ..
-
Digital Forensic Challenge 2019 AF300 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 16. 17:40
결국에는 USB와 전자메일을 입수 했고 그걸 분석해서 정보를 입수 하는 것이 문제인것 같습니다. 이메일을 번역해 보면 다음과 같이 나옵니다. PDF 파일 찾고, 이전에 사용한 암호도 찾아야 하는 것 같습니다. E01 파일이므로 FTK Imager 를 이용하겠습니다. Information 폴더에서 1.pdf 를 발견했습니다. 1.pdf 는 삭제된 상태로 비밀번호가 걸려있으며, 2.pdf 도 비밀번호가 걸려있다. Bob presentation.zip 파일은 삭제된 상태이지만 사이즈가 0이여서 복구도 불가능 하다. binwalk 0280 를 해보면 End of Zip archive 문자열을 찾을 수 있습니다. binwalk 1312 를 해보면 맨 아래에 Zip archive data file 이 있습니다. 실..
-
Digital Forensic Challenge 2019 AF200 문제풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 13. 12:57
AF200 문제로 저번 AF100 문제를 너무 재미잇게 풀어서 이번 문제도 기대가 됩니다! 문제를 이제 확인해 보겠습니다. what-is-Pooh-doing 이라는 파일의 확장자를 알아 보겠습니다. 7z 파일인 것을 알 수 있고, 압축 해제를 해보겠습니다. 하이브 파일(hve)과 하이브 로그 파일(hve.LOG1)이 있습니다. 하이브 파일은 레지스트리 뷰어로 확인 해 볼수 있기 때문에 Registry Explorer 툴을 이용해서 확인해 보겠습니다. 0xAF200 하위에 3개의 폴더가 존재 합니다. - Let's warm up. - One part was stored here. - Two parts were buried here. 먼저 0xAF200에 데이터가 있는지 보겠습니다. 아무런 데이터가 들어있지..
-
Digital Forensic Challenge 2019 AF100 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 11. 12. 10:51
ZIP 파일에서 숨겨져 있는 데이터를 찾는 문제인것 같습니다. 일단 ZIP 파일이 어떻게 구동되는지 원리를 이해해 보겠습니다. * zip 파일을 실행하면 실행되는 순서는 대략적으로 아래와 같이 나타낼 수 있다. 1. 최초 실행시에 End of Central Directory로 이동. 2. End of Central Directory 에 있는 정보를 바탕으로 Central Directory 의 시작 위치로 이동합니다. 3. Central Directory 에서 정보를 읽고 End of Central Directory에서 Central Directory의 개수만큼 반복하여 End of Central Directory전까지 읽는다. 4. Central Directory에서 읽은 Local Header 위치로 ..
-
슈퍼패치 파일 분석(Superfetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 11. 11:19
Superfetch File 이란? 프리패치 파일(Prefetch File)의 문제점을 개선하기 위해서 만들어진 파일입니다. 프리패치 문제점 - 프리패치는 응용프로그램 실행 전 미리 메모리에 로딩하는 기술입니다. -> 메모리를 이용한 빠른 실행의 목적을 가진 파일 - 메모리의 한계로 인해서 메모리에 로딩된 프리패치 데이터는 페이질 파일로 이동하게 되었습니다. - 다시 응용프로그램 실행시 페이징 파일부터 로딩을 시작하기 때문에 성능 저하를 불러오게 됩니다. 위처럼 프리패치 파일(Prefetch File)에 있어서 문제점이 발생하게 되서 슈퍼패치 파일(Superfetch File)이 등장을 하게 됩니다. 슈퍼패치 파일(Superfetch File) 개선점 - 사용자의 프로그램 사용 패턴(얼마나 자주, 언제,..
-
CSV 파일을 SQLite Studio로 넣어서 확인하기$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 8. 20:55
CSV 파일은 Microsoft Execl 응용프로그램으로 열수 있는 파일입니다. Excel 파일 특성상 데이터가 많거나 한 셀에 방대한 데이터가 들어가게 되면 프로그램이 멈춘뒤 꺼지는 현상이 나타납니다. 그럴때 csv 파일을 SQLite Studio에 넣어서 깔끔한 View로 확인 할 수 있습니다. 먼저 SQLite Studio를 설치 해 보겠습니다. 설치 주소 : https://sqlitestudio.pl/index.rvt?act=download 프로그램을 실행한뒤 Database -> Add a Database 를 이용해서 db를 하나 만듭니다. Database를 확인해 보면 아래와 같습니다. Tables 에 아무것도 없기 때문에 테이블을 만들고 csv 파일을 import 할 예정입니다. table..