본문 바로가기

디지털포렌식

 (19)
NTFS 파일 분석 NTFS 저장 구조 ி VBR(Volume Boot Record) VBR은 MBR 다음 영역으로서 파티션 정보와 부팅 정보가 기록되는 영역이다. ி MFT(Master File Table) 데이터 파일에 대한 메타 정보가 존재하는 파일이다. MFT는 여러 영역에 조각나서 존재 가능하다. 아래 보이는 것처럼 다수의 MFT Entry로 쪼개지고 MFT Entry안에서 또 별도의 영역들이 존재한다. ➽ resident header 파일크기가 700byte 미만으로, 데이터가 MFT 내부에 저장된다. ➽ non resident header 파일크기가 700byte 이상으로, Data 영역에 별도로 저장된다. (Data 영역을 가리키는 주소도 존재함) 전체적인 파일 헤더의 모습이다. 속성 헤더 10 : stand..
FAT32 파일 시스템 분석 ி 파일 시스템 구조 FAT32의 파일 시스템 구조는 아래와 같다. MBR(Master Boot Record) Boot Code : 컴퓨터를 부팅하기 위해 필요한 실행 코드 Partition Table: 파티션들의 정보 ※ 파티션 #1~#4 주소 파티션 테이블 구조 부트 플래그 : 00(부팅X), 80(부팅0) 파티션 시작주소 파티션 타입 : NTFS(07), FAT32(0B, 0C) 파티션 끝 주소 파티션 시작 섹터 번호 파티션 총 섹터 수 수동 복구 = 맨 아래 파일의 offset 410080에서 E5를 41로 변경 자동 복구 = ftk imager에서 복구 진행 파일 카빙 삭제된 파일의 데이터 영역으로 이동한다. Root Directory(8320) + ( (시작주소(Low) + 끝 주소(High)..
디지털포렌식 도구 사용방법 ி 디지털포렌식 컴퓨터를 이용한 범죄 수사시 디지털 매체에 대한 증거를 확보하는 행위를 말한다. 수집 순서 휘발성 정보 레지스트리/캐시, 메모리, 프로세스, 쿠키 등 비휘발성 정보 하드디스크(이미지) 컴퓨터 종료 시 사라질 수 있는 휘발성 정보를 우선 수집해야한다. 수집 정보 사용자 정보, 시간, 시스템 버전, 파일 생성/삭제 이력, 메모리 덤프, 레지스트리, 악성 스크립트, 프로세스, 시작 프로그램/서비스, DLL 참조, 네트워크 정보, USB 연결기록 수집 정보 FTK Imager – 디스크 이미지 생성 FTK Toolkit/Autopsy – 디스크 이미지 분석 Everything – 지정된 시간대의 파일 검색 NTFS Log Tracker – NTFS 로그(파일 생성, 삭제) 분석 REGA – 시스..

티스토리툴바