디스크 포렌식 종합실습 예제 만들기

2019-01-02

디스크 포렌식 

종합실습 예제 만들기

• 쓰기방지
• 이미징
• 폴더 브라우징
• 시그니처 스캔
• 삭제파일 복구
• 유실파일 복구(파일 카빙)
• 도구:  FTK Imager, Autopsy(sluethkit)

----------------------------------------------------------------------------

구성

• 새하드 장착 : 8gb
• 새파티션 생성 : 2개
• 1번째파티션 : 4gb, FAT32
• 2번째파티션 : 4gb, FAT32
• 1번째 파티션(\F:)
• 디렉토리 및 파일 생성
• Image /picture(사진) : jpg, png, bmp
• docs : pdf, doc, hwp
• video / audio : wmv, wav, mp4, mp3
• 압축 : zip, tar, tar.gz, alz
• 파일 별로 10 여개씩 저장
• 용량을 꽉 채우기
• insurance-cp.pdf 파일을 jpg 확장자로 변경하고 이미지 폴더에 숨겨라
• Slamdunk_01.zip 파일을 mp4 확장자로 변경하고 video 폴더에 숨겨라
• 종류별로 1-2개씩 삭제
• 2번째 파티션
• 1번째 파티션과 유사하게 구성
• 포맷

증거 수집 및 분석

• 증거하드를 분석자 컴퓨터에 연결하기

• 쓰기 방지 (SAFE Block)

• 이미지 파일 생성 (FTK)

FTK실행후 만들어지는 txt

전체내용이 간략하게 정리됨

만들어진 images

• 분석

• Autopsy

복구한 이미지를 읽을수 있음

삭제된 내용이나 포맷된 파티션의 정보를 확인

○ 보고서

DiskForensic 연습
-> http://dftt.sourceforge.net/
-> keyword Search : 파일의 keyword로 검색