▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼

https://inf.run/zmPL

 

[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런

훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털

www.inflearn.com

$MFT

$기호는 윈도우 내부의 시스템 파일이라는 의미를 가짐. 

 

MFT(Master File Table)

  • 디렉토리 및 파일의 구조를 알 수 있는 아티팩트
  • 하나의 파일당 하나의 MFT 엔트리를 가짐
  • $MFT: MFT 엔트리들의 집합

MFT 엔트리

  • 파일의 이름, 생성·수정·변경시간, 크기, 속성등을 가지고 있음
  • 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음

MFT 실습

  • FTK Imager 이용해 [root]\$MFT 추출
  • "MFTExplorer" 이용

 

$LogFlie, $UsnJrnl

저널링 (Jounaling)

  • 데이터 변경을 디스크에 반영하기 전 행위를 기록하여 추후 오류 복구에 활용
    • 데이터 기록하는 동안 시스템에 문제 생기면 데이터가 손실됨
    • 문제가 발생하기 전에 "어떤 데이터를 언제, 어디에 쓰는지" 기록
    • 문제 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템 복원

트랜잭션 (Transaction)

  • 쪼갤 수 없는 업무 처리의 최소 단위
  • 파일이나 디랙토리 생성, 수정, 삭제, MFT 레코드 변경 등
  • $LogFile: 메타데이터의 트랜잭션 저널 정보

 

$UsnJrnl

  • 파일이나 디렉토리에 변경사항 생길 때 이를 기록하는 로그 파일
  • 파일 복원 목적 X, 단순 파일 작업 있었다는 사실 확인 위함
  • 시간 순서대로 엔트리 저장, 기본 크기는 32Mb
    • 하루 8시간 사용한다 치면 4~5일 정도의 데이터 보관

$LogFile, $UsnJrnl 실습

  • FTK Imager 이용해 [root]\$LogFile 추출, [root]\$Extend\$UsnJrnl\$J 추출
  • "NTFS Log Tracker" 이용

 

바로가기(.LNK)

'Windows Shortcut'

.lnk 확장자 (link 파일)

 

생성방법

  • 사용자가 직접 생성
  • 프로그램 설치 시 생성
  • 운영체제가 자동으로 생성

바로가기 파일이 생성되는 경로

  • 바탕화면 << 가장 흔하게 생성됨. 
    • %UserProfile%\Desktop 
  • 시작 메뉴
  • 최근 실행
  • 빠른 실행

바로가기(LNK) 실습

  • FTK Imager 이용해 추출
  • "LECmd" 이용 -> 분석

 

Jumplist

점프리스트 (Jumplist)

  • 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
  • 종류(분석함에 있어서 이런 걸 구분하는 게 의미있진 않음)
    • Automatic: 운영체제가 자동으로 남기는 항목(설치하지 않아도 기본으로 있는 응용 프로그램들이 자동으로 남기는 것)
    • Custom: 응용프로그램이 자체적으로 관리하는 항목
  • 경로
    • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
    • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Jumplist 실습

  • FTK Imager 이용해 추출
  • "JumpList Explorer" 이용 -> 분석

 

Prefetch 개념 및 실습

응용 프로그램(.exe) 실행과 관련된 아티팩트. 응용 프로그램 실행 시 남는 흔적들? 

일반적으로 악성 프로그램들도 결국 .exe 파일인 경우가 많음

포렌식 위해 존재하는 아티팩트는 아님. 

 

Prefetch

  • 응용프로그램의 빠른 실행 위해 존재하는 파일
  • RAM 영역에 별도의 prefetch 영역 존재?
  • 응용 프로그램 실행할 때에 생성
    • 실행 파일 이름, 경로
    • 실행 파일의 실행 횟수
    • 실행 파일의 최초 실행 시간
    • 실행 파일의 마지막 실행 시간
  • 경로
    • %SystemRoot%\Prefetch

 

Prefetch 실습

  • "WinPrefetchView" 이용해 분석

Q. '$' 기호가 갖는 의미는?

A. '윈도우 내부의 시스템 파일' 이라는 뜻의 기호.

 

Q. Prefetch 실습에서 Winprefetch를 사용하면 무결성이 훼손되지 않는다. (O/X 퀴즈)

A. X

 

Q. $LogFile의 저널링은 언제 활용하는가?

A. 데이터 변경을 디스크에 반영하기 전, 행위를 기록해서 추후 오류 복구에 활용

 

Q. UserAssist 에서 나타내는 내용은?

A. 최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수 

'SWUFORCE > 디지털 포렌식' 카테고리의 다른 글

디지털 포렌식_07  (0) 2024.07.10
디지털 포렌식_06  (0) 2024.07.03
디지털 포렌식_04  (0) 2024.05.15
디지털 포렌식_03  (0) 2024.05.07
디지털 포렌식_02  (0) 2024.04.02

+ Recent posts

티스토리툴바