Window Artifact Forensic, NTFS, EXT, Anti-Forensic

윈도우 아티팩트 포렌식

현장기반 분석 vs 이미징 후 분석

현장기반 - 컴퓨터가 켜져있을때 → 파일 시스템, 메모리 분석 가능

copy는 비할당 영역을 가져오지않고 imaging은 비할당 영역도 복사함

→ 비할당 영역에 삭제된 파일, 데이터가 존재할 수 있음

 

Timeline analysis

저장 매체가 대용량화가 되고

영장 범위가 제한되는 등 시간대 별로 진행된 행위 분석을 해야함

 

window artifact 종류

• 사용자의 행위로 인해 운영체제 내부적으로 발생하는 변화들
• date/times
• prefetchfile/superfetch - 사용자가 많이 사용하는 파일의 시스템 자원 정보를 미리 저장하여 실행속도 향상
• short cut file - 바로가기 파일
• recycle bin - 삭제된 파일을 보관하는 파일
• Event logs - OS에서 발생하는 변화 기록

NTFS

Sector 0 디스크의 가장 작은 부분 512 byte

Sector Address Technique - CHS, LBA

MBR은 4개의 Partition Table을 갖고 중요 데이터는 partition type과 starting lba add다.

VBR = NTFS에서 가장 앞 영역

VBR은 부트 섹터와 추가적인 부트 코드 저장

VBR의 크기는 클러스터 크기에 의해 결정

 

MFT, Master File Table은 Data Area에 있는 파일 정보를 차곡차곡 쌓은 정보

NTFS의 모든 기능들은 MFT 구조에 의해 이루어짐

VBR은 단순히 부팅을 하기 위한 영역이며 MFT의 위치는 고정적이지 않다.

MFT는 MFT Entry의 set이고

1개의 MFT Entry 크기는 1024byte다.

NTFS 내에 존재하는 모든 파일은 각 파일마다 하나 이상 MFT 엔트리 할당

→ MFT 엔트리는 모두 FILE이라는 시그니처를 가짐

NTFS 파일 복원

MBR→ VBR→ $MFT→ MFT → Data area

1. MBR에서 partition table을 찾아 starting lba address*0x200을하여 해당 주소 이동
2. VBR에서 $MFT 탐색 (VBR주소+Logical ClusterNumber for $MFT*0x200)
3. $MFT에 attribute들이 쭉 옴 $MFT의 비트맵을 찾음
4. MFT에 삭제된 파일의 att를 찾고 시작, 끝주소를 찾아서 복원

Ext

리눅스의 기본 파일 시스템은 Ext4

Ext2 파일 시스템 개요

12개의 블록을 이용해 데이터의 포인터를 사용 + 간접 포인터 +2중 +3중

Ext3는 위와 다르게 저널링이 나옴

Ext4(대용량 파일 지원) → Inode table이 256 바이트

블록 매핑을 사용하지 extent tree 사용

이론적으로 56TB의 파일 저장 가능

Ext 파일 시스템 구조

Ext 를 구분 하는 방법: 저널링을 쓰는지 블록 매핑을 사용하는지

SuperBlock을 찾고 group descriptor을 찾고 Inode Table을 찾고 해당 Data 찾기

Ext2 파일 복원

1. Super Block 위치 찾기
2. 그룹 디스크립터 테이블 찾기
3. 디스크립터 테이블 내의 Inode Table *0x400을 통해 Inode table 위치찾기
4. Inode table 내에 root의 inode table을 확인(2번째 Inode)
5. 디렉토리가 연속된 구조를 볼 수 있음 복원하고 싶은 파일의 inode number을 찾고 이동
6. inode table 구조에서 block pointer을 사용해 파일 복구

스테가노그래피

사진내 data hiding

Insertion - 사진 data가 끝난 후 추가로 string을 숨기기

Fabrication - 이미지 파일의 bit를 조작하여 의미를 만들어냄. 보통LSB(마지막 비트) 조작

Stegano Tools(S-Tools)

DeepSound-autio converter(오디오 파일에 data 숨김)

Digital Watermarking - 신원확인 및 트래킹 방식으로 쓰이는 스테가노 그래피

안티 포렌식

1. 데이터 파괴
2. 데이터 삭제 - 참조 정보만 삭제 → 비할당 영역도 지워야함

• 데이터 완전 삭제 (소프트웨어 기반 → 저장된 영역을 임의의 문자로 덮어쓰고 삭제하는 과정을 7회 반복, 하드웨어 기반-디스크에 강한 자성을 가진 물질로 마찰)
• 안티포렌식을 위한 증거물 자동 삭제 도구

  2. 데이터 암호화

• 데이터 암호화 전용 도구
• 응용 프로그램의 암호화 기능
• BitLocker - window가 설치된 드라이브의 모든 개인 파일 및 시스템 파일 암호화

 

  3. 데이터 은닉

• 데이터를 숨기는 일련의 활동
• 일반적으로 암호화된 데이터 은닉
• 심층암호 , slack
• RAM slack = 섹터가 512 바이튼데 남는 바이트를 slack이라함

섹터 안에 남은 공간을 램슬랙이라하고

클러스터 안에 남는 공간을 파일 슬랙이라함

 

포터블 응용프로그램

• 실행 파일과 그에 필요한 필수 파일만으로 제작됨
• 프로그램 설치과정이 필요없음
• 실행 종료 시 레지스트리, 임시 파일 등의 흔적 삭제