디지털 포렌식 전문가 과정 - 섹션4(레지스트리/파일다운/암호 및 메일 분석)

레지스트리 분석 실습

파일이 큰 관계로 다운이 잘되지 않아서...일단 강의 들으면서 정리만 해놓겠습니다..ㅜㅜ

도구: REGA

 

레지스트리 분석 - 서울 - 사건정보 입력 - 레지스트리 파일 입력

--> 분석할 레지스트리 파일 안에 NTUSER.DAT파일을 같이 넣어줘야 함(같은 경로)

 

1. 시스템 사용자 이름

사용자 계정정보: Natasha

 

2. 컴퓨터 이름

키워드 검색: computername - WIN-S550ED41619

 

3. 표준시간대 정보

키워드 검색: timezone - Eastern Stardard Time

 

4. 검색 키워드 확인

키워드 검색: 타이핑한 명령어(typedurls) -  carrots, cookies 

 

5. TCP/IP

 

6. 운영체제가 설치된 날짜

윈도우 설치 정보

 

7. 기본 브라우저

startpage - google.com

기본 브라우저:  IE(Internet Explorer)

 

 

프로파일 및 파일다운 분석

사례1: 판교 테그노밸리 K기업에서 기밀 유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. 

 

실습파일(압축 풀지는 말고 필요 파일만 압축 풀기) 

브라우저와 관련된 파일이 있는지 확인할 것 --> MicroSoft --> Windows -->  webCache

웹캐시 파일을 뽑아서 툴에서 분석할 것임

 

도구: IE10Analyzer

History에서 가장 많이 방문한 사이트를 확인할 수 있음

-> detail: Url/ 접근 시간 파악

 

 

사례2: 아동 성폭력 관련된 범죄를 소탕하기 위해 대대적인 계획을 세운다. 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!

 

ftk imager -> down이미지 파일 열기 

Administrator - uTorrent(안드로이드 다운로더) - setting.dat

*토렌트 특성상 SID파일을 같이 가지고 있음(setting파일을 분석하면 어디에 SID파일이 있는지 알 수 있음) 

 

도구: bencode-editor

setting.dat open -> devices -> sid파일 경로를 지정하고 있음

 

 

이 경로대로 들어가서 SID파일을 찾으면 됨 --> 이 파일의 로그파일이랑 NTFS 로그파일 추출해서 찾아보자

도구: NTFS Log Tracker - csv

 

엑셀 파일에서 생성정보, 시간, 다운로드를 받았던 흔적들을 찾을 수 있음

 

 

암호 및 메일 분석

사례3: 거대한 마약 조직을 잡으려는 시도로 경찰을 습격을 해 샬롯의 컴퓨터를 압수했다. 그녀는 다른 마약 거래를 돕는 혐의를 받고 있다. 이 컴퓨터에서 발견된 의사소통은 다음 약물 거래가 있음을 증명했다. 분석관인 당신은 해당 시스템을 분석하여 다음 거래의 암호 코드를 찾아야 한다.

HINT:
- 메일만이 유일한 통신 수단은 아니다.  --> 다른 걸로 통신했겠다

- 파일이 삭제되면 일부 아티팩트가 시스템에 계속 존재하게 된다. --> 아티팩트(썸네일, 아이콘) 

- 기밀  --> 암호코드

 

 

ftk imgaer -> 휴지통 -> 파일 2개($R/ $I)

$I파일: 메타데이터를 나타냄 --> 여기서 살펴보니까 저장된 경로가 하나 보임

main.db라는 파일을 확인할 수 있음

$R파일을 추출해서 main.db라는 이름으로 바탕화면에 만들어줌

 

그 다음 아까 봤던 저장된 경로로 들어가기

C:\Users\Charlotte\AppData\Roaming\Skype\~~여기에 main.db가 있었겠지

(메일이 아니라 통신수단은 Skype임을 알 수 있음!!)

 

도구: skypelogview

main.db(폴더 필수)의 대화내용을 확인할 수 있음 -> detail.docx라는 파일을 받은 흔적 -> 해당 경로로 이동

-> 파일이 없음 -> 힌트를 통해서 삭제됐음을 의심할 수 있음

 

삭제되어도 계속 존재하는 아티팩트인 Thumbnai, Icon을 확인해보자

해당 경로로 들어가기

Windows\Explorer ~~

파일을 추출하고 ThumbCache Viewer에 넣어서 확인하기 --> 기밀 문서가 하나 보임(HINT3)

 

 

 

사례4: 피터의 살인 사건에 대한 조사가 진행 중이다. 목격자들이 피터와 존 스미스 사이에서 벌어지고 있는 싸움을 언급한 후, 경찰은 존 스미스의 컴퓨터 하드디스크 사본 이미지를 받았다. 그의 메일 중 하나는 피터와 요한 사이에 싸우미 있었다는 것을 확인했지만 요한이 피터를 살해했다는 증거는 아니었다. 분석관인 당신은 메일로 알려준 증거를 찾아야 한다.

HINT:

- 브라우저 기록

- 파일 삭제

 

 

ftk imager로 이미지파일 열기 -> 메일(outlook) -> john_smith.ost 파일 추출

도구: Kernal OST Viewer

분석: 이메일 확인 -> 마지막 메일 -> 암호화되어 있음(키를 찾아야 함)

암호화된 키를 찾고, 복호화해주면 메일 내용을 알 수 있음..

 

실습 파일이 안 열리는 관계로...일단 정리만 하고 파일 다운로드 되면 그때 다시 해볼게용...ㅎㅎ