728x90 ๋ฐ์ํ For3nsic/Forensic 36 MBR ๊ตฌ์กฐ MBR ๊ตฌ์กฐ๋ฅผ ๋ณด๋ฉด ์ด๋ฌํ ๊ตฌ์กฐ๋ฅผ ๊ฐ์ง๊ฒ ๋์ด ์๋ค. ์ฐ๋ฆฌ๊ฐ ๊ธฐ๋ณธ์ ์ผ๋ก MBR์ ๋ณด๋ฉด 512byte๋ฅผ ํ๋นํ์ฌ ๊ฐ์ง๊ณ ์์ผ๋ฉฐ 440์ ์ฝ๋ ์์ญ์์ ๊ฐ์ง๊ณ ์์ผ๋ฉฐ 4๋ฐ์ดํธ๋ฅผ ๋์คํฌ ์๋ช ์ ์ฐจ์งํ๋ค. ๊ทธํ 2๋ฐ์ดํธ๋ ์ฐ๋ ๊ธฐ ๊ฐ์ด๊ณ ๋๋จธ์ง ๊ฐ์ ํํฐ์ ๊ฐ์ ๋ํ๋ธ๋ค. ๋ง์ง๋ง 2๋ฐ์ดํธ๋ 55 AA๋ฅผ ๋ํ๋์ผ๋ก์ ํ๋์ ๋ฌธ์ ๊ฐ ์๋ค๋ ๊ฒ์ ๋ํ๋ด์ค๋ค. For3nsic/Forensic 2015. 11. 3. ํ์ผ์์คํ ๋ถ์ ์ต๊ทผ ์ญ์ ๋ ํ์ผ์ด๋ ์ฌ๊ฑด์ด ์ผ์ด๋ ์์ ์์ ์ญ์ ๋ ํ์ผ์ ์ฐ์ ๋ถ์ ๋์์ด ๋๋ค.ํ์ผ ์์คํ ์ ํ์ผ ์ญ์ ์ ์ค์ ๋ฐ์ดํฐ ์ญ์ ์์ด ๋ฉํ์ ๋ณด๋ง์ด ์์ ๊ฐ๋ฅ ํ๋ค.์ฆ, ์ญ์ ๋ ํ์ผ์ ๋ฉํ ์ ๋ณด ๊ตฌ์กฐ๊ฐ ๋ฎ์ด์จ์ง์ง ์์๋ค๋ฉด ํ์ผ์ ๊ฑฐ์ ์๋ฒฝํ๊ฒ ๋ณต๊ตฌ๋๋ค๋ ๋ง์ด๋ค. ๋์คํฌ ํฌ๋งท์ ๋ณด NTFS : ๋น์ฐ์์ /์ฐ์์ ์ผ๋ก ํ ๋น๋ ํ์ผ ๋ชจ๋ ์๋ฒฝํ๊ฒ ๋ณต๊ตฌ๊ฐ ๊ฐ๋ฅํ๋ค.FAT : ๋น์ฐ์์ ์ผ๋ก ํ ๋น๋ ํ์ผ์ ๋ถ๋ถ์ ์ธ ๋ณต๊ตฌ๋ง ๊ฐ๋ฅํ๋ค. (FAT Table์ ์ด๊ธฐํ๋ก ์ฐ๊ฒฐ์ ๋ณด๊ฐ ์ฌ๋ผ์ง๋ค.)์ญ์ ๋ ํ์ผ ํ์ FAT12/16/32 : ๋ฃจํธ ๋๋ ํฐ๋ฆฌ๋ก ๋ถํฐ ํ์ํ๋ฉด์ ๋๋ ํฐ๋ฆฌ ์ํธ๋ฆฌ ์ฒซ ๋ฐ์ดํธ๊ฐ 0xe5์ธ ์ํธ๋ฆฌ ์์ง ์์ง exFAT : ํ์ผ ๋๋ ํฐ๋ฆฌ ์ํธ๋ฆฌ ๊ฐ์ด 0x05์ธ ์ํธ๋ฆฌ ์์งNTFS : $MFT ์ $BITMAP ์์ฑ์์ .. For3nsic/Forensic 2015. 11. 2. ์ปดํจํฐ ๊ธฐ๋ณธ ์ปดํจํฐ์ ํ๋์จ์ด ๊ตฌ์ฑ ๋ถํ ์ผ์ด์ค – ์ปดํจํฐ ์์คํ ๊ตฌ์ฑ ๋ถํ์ ๊ฐ์ ๋ฟ๋ง ์๋๋ผ ๋ด๊ณ , ์งํฑํด์ค๋ค. ์ ๊ธฐ์ ๊ฐ์ ๋๋ ๊ฒ์ ๋ง์์ฃผ๋ฉฐ ๋ด๋ถ๊ตฌ์ฑ ๋ถํ์ ๋จผ์ง์ ์ต๊ธฐ, ์ธ๋ถ์์์ ์ง์ ์ ์ธ ์ถฉ๊ฒฉ์ผ๋ก๋ถํฐ ๋ณดํธ ํด์ค๋ค. ROM(Read Only Memory) – ๋ฐ์ดํฐ๋ฅผ ์๊ตฌ์ ์ผ๋ก ํน์ ๋ฐ์๊ตฌ์ ์ผ๋ก ์ ์ฅํ ์ ์๋ ๋ฉ๋ชจ๋ฆฌ์ ํ ์ข ๋ฅ๋ก, ๊ทธ์์ ๋ด์ฉ์ ์ถ๊ฐํ๊ฑฐ๋ ์์ ํ๋ ๊ฒ์ด ๊ฑฐ์ ์ด๋ ต๊ฑฐ๋ ๋ถ๊ฐ๋ฅํ ์ฑ์ง์ ๊ฐ๊ณ ์๋ค. ๋ํ ๋นํ๋ฐ์ฑ์ ์ฑ์ง์ ๊ฐ์ง๊ณ ์๋ค.์ฝ๊ธฐ ์ ์ฉ๊ณผ ๋นํ๋ฐ์ฑ? ์ด๋ ์ปดํจํฐ๊ฐ ๋ถํ ์ ํ์ํ ์ปดํจํฐ ์๋ ๊ตฌ์ฑ ์ค์ ๊ณผ ์ฝ๋๋ฅผ ๊ฐ๊ณ ์๋ ํ์ผ์ ROM์ ์ ์ฅํ๋ ๋ฐ ์ ์ ํ๋ค -> ROM BIOS RAM(Random Access Memory) - ์ปดํจํฐ์ ์ฃผ ๋ฉ๋ชจ๋ฆฌ๋ก์ ๋ฐ์ดํฐ์ ์ฝ๋, ์ค์ ๋ฑ์ ์ ์ฅํ๊ธฐ ์.. For3nsic/Forensic 2015. 11. 1. Encase ํํฐ์ ๋ณต๊ตฌํ๊ธฐ Encase ๋ฅผ ์ด์ฉํ์ฌ ํํฐ์ ์ ๋ณต๊ตฌํ์!!! ๋จผ์ keyword๋ฅผ ์ถ๊ฐํ์ ์ถ๊ฐํ ํค์๋๋ \xEB..(MSDOS)|(NTFS) For3nsic/Forensic 2015. 10. 30. Encase Partition Table (Entry size : 16byte) - Partition Table Layout`[๊ทธ๋ฆผ 1] [๊ทธ๋ฆผ 2]๊ธฐ๋ณธ์ ์ผ๋ก MBR์ 512 byte๋ฅผ ๊ฐ์ง๋ค. ์ฝ๋์์ญ์ด 440 byte๋ฅผ ๊ฐ์ง๊ณ ๋์คํฌ ์๋ช ์ด 4byte๋ฅผ ๊ฐ์ง๋ค. ํํฐ์ ํ ์ด๋ธ์ ๊ฐ๊ธฐ ์ ์ 2 byte๊ฐ ๋น์ด์์ผ๋ฉฐ 16 byte์ฉ ์ด๋ฃจ์ด ์ ธ์๋ค. ํ๋์ ๋์คํฌ์ ์ต๋ ๋ค ๊ฐ์ ํํฐ์ ๋ง์ ๊ธฐ๋กํ ์ ์๋ค. ๊ทธ๊ฒ ๋ฐ๋ก ์ฃผ ํํฐ์ ์ด๋ค. ์ด์ ์ฒซ๋ฒ์งธ ํํฐ์ ์ ์ฐพ์ ๋ณด์. - NTFS๊ฐ ์์ํ๋ ๊ณณ์ MBR๋ก๋ถํฐ 63sector๋งํผ ๋จ์ด ์ ธ์๋ค.(File System์ MBR๋ก ๋ถํฐ 63 sector ๋จ์ด์ง ๊ณณ์ ์์นํ๋ค.) For3nsic/Forensic 2015. 10. 30. Encase - ์ค์ต 2 ๋ถ๋งํฌ - Highlighted Data Bookmark : ๋ฐ์ดํฐ ๋ณต์ฌํด์ ๋ถ๋งํฌ - Notable File Bookmark : ๊ฐ๊ฐ์ ํ์ผ์ ๋ถ๋งํฌํ์ผ์ ํ -> ๋ถ๋งํฌ - Folder Information Bookmark : ํด๋์ ํธ๋ฆฌ ๊ตฌ์กฐBookmark Folder structure ์ ํ - Notes Bookmark : ์ฃผ์ ๊ฐ๋ฅ For3nsic/Forensic 2015. 10. 30. Encase - ์ค์ต 1 1. ์ฆ๊ฑฐ ์ฅ์น ๋ง์ดํธ๊ฐ. USBAdd Device -> Local Drivers -> Choose Drive(E:\) [๊ทธ๋ฆผ 1] Choose Devices [๊ทธ๋ฆผ 2] ๋. ์ด๋ฏธ์ง์ด๋ฏธ์ง ๋ง๋ค๊ธฐ - Edit -> Acquire - ๊ธฐ๋ณธํฌ๊ธฐ : 640MB- ์์ถ- ์ ์ฅ๊ฒฝ๋ก [๊ทธ๋ฆผ 3] ํค์๋ ์ถ๊ฐ Global keyword : view -> keyword(keywords.ini์ ์ ์ฅ)local keyword : view -> Cases SubTab -> keyword ? 4.2์๋ Hemmmmm... [๊ทธ๋ฆผ 4] ํค์๋ ๊ฒ์ : keyword -> New -> ํค์๋ ์ ๋ ฅ -> ํค์๋ ์ฒดํฌ - ์ด๋ฏธ์ง : Discarded Diskette ์ถ๊ฐ - keyword ๊ฒ์ : Basher, Stewart, M.. For3nsic/Forensic 2015. 10. 30. Encase - ๊ฐ์ little-endian - ์ฒซ๋ฒ์งธ ์ ์ฅ๋ฐ์ดํธ์ ์ซ์์ ๊ฐ์ฅ ํ์ ๋ฐ์ดํธ๋ฅผ ์์นํ๋ค.- intel ๊ฐ์ IA32๊ธฐ๋ฐ ์์คํ ์ด ์ฃผ๋ก ์ฐ๋ ์ ์ฅ ๋ฐฉ์Ex)0xaabbccdd -> ddccbbaa big-endian - ์ฒซ๋ฒ์งธ ์ ์ฅ๋ฐ์ดํธ์ ์ซ์์ ๊ฐ์ฅ ์์ ๋ฐ์ดํธ๋ฅผ ์์นํ๋ค. - APPLE, UNIX ๊ณ์ด Ex) 0xaabbccdd -> aabbccdd FAT(File Allocation Table)- Directory Entry : ํ์ผ/ํด๋์ด๋ฆ, ์์ ํด๋ฌ์คํฐ์ ์ ๋ณด- FAT : ํด๋ฌ์คํฐ ํ์ฌ ์ฌ์ฉ ์ฌ๋ถ, ์ฌ์ฉ๊ฐ๋ฅ ํ์ง ํ์ธ NTFS(New Technology File System)- $MFT : ํ์ผ/ํด๋ ์ด๋ฆ, ์์ ํด๋ฌ์คํฐ์ ์ ๋ณด- $BitMap : ํด๋ฌ์คํฐ ํ์ฌ ์ฌ์ฉ ์ฌ๋ถ, ์ฌ์ฉ๊ฐ๋ฅํ์ง ํ์ธ Res.. For3nsic/Forensic 2015. 10. 30. Encase - MBR PS - ๋ฌผ๋ฆฌ์ ์ธ ์นํฐ ์ซ์ ํ์LS - ๋ ผ๋ฆฌ์ ์ธ ์นํฐ ์ซ์ ํ์CL - ํด๋ฌ์คํฐ ์ซ์ ํ์, ~๋ฒ์งธ ํด๋ฌ์คํฐSO - ์นํฐ ์์๋ถํฐ์ ๊ฑฐ๋ฆฌ( byte)FO - ํ์ผ ์์๋ถ๋ถ๊น์ง์ ๊ฑฐ๋ฆฌ(byte)LE - ์ ํ์์ญ์ ํฌ๊ธฐ ํ์(byte) X - Deleted, Overwritten File : ํ์ผ์ด ์ญ์ ๋๊ณ ๋ค๋ฅธ ํ์ผ์ ์ํด ๋ฎ์ด์จ์ง ํ์ผ๋ก ์์ ๋ณต๊ตฌ๋ ๋ถ๊ฐ๋ฅO - Deleted File : ์ญ์ ๋์์ผ๋ ๊ฒน์ณ์ฐ๊ธฐ ๋์ง ์์๋ค๋ ์๋ฏธ, ์์ ๋ณต๊ตฌ ๊ฐ๋ฅLost File(Folder, Unallocated) : parent ํด๋๊ฐ ์กด์ฌํ์ง ์๋ ํ์ผ๋ค์ ๋ชจ์์ ๊ฐ์์ ํด๋์ ์ ์ฅํ๋ค. Internal File - ํ์ผ์์คํ ๊ณผ ๊ฐ์ด ์ด์์ฒด์ ๊ฐ ๋ง๋๋ ํ์ผInvalid Cluster - ํ์ผ์ด๋ฆ ํ์ ์ ์์ผ๋ ์ ์ฅ.. For3nsic/Forensic 2015. 10. 30. Encase For3nsic/Forensic 2015. 10. 29. Encase - 1 Digital Forensic ์ฆ๊ฑฐ ์ด๋ฏธ์ง - ์ธ ๊ฐ์ง ๊ธฐ๋ณธ ์์(ํค๋, ์ฒดํฌ์ฌ, ๋ฐ์ดํฐ ๋ธ๋ก)์ผ๋ก ๊ตฌ์ฑ ๋๋ฉฐ, ์ด๋ฅผ ๋ถ์์ ์ปดํจํฐ ๋์คํฌ์ ์ํ๋ฅผ Self-Checkingํ์ฌ ์ ๊ณต CRC(Cyclical Redundancy Check) - ์ํ ์ค๋ณต ๊ฒ์ฌ - CRC๋ ์ฒดํฌ์ฌ๊ณผ ๋งค์ฐ ๋น์ทํ ๋ฐฉ์์ผ๋ก ๋์ํ์ง๋ง ์ฒดํฌ์ฌ๊ณผ ๋ฌ๋ฆฌ Order-sensitive ํน์ฑ์ ์ง๋ ์ด๋ ๋ฌธ์์ด์ ๊ฐ์ ์ฒดํฌ์ฌ์ ๊ฐ์ง์ง๋ง ๋ฌธ์์ด ๋ง๋ค ์๋ก ๋ค๋ฅธ CRC๋ฅผ ๊ฐ์ง๊ฒ ๋๋ค. ๋๋ถ๋ถ ํ๋์จ์ด๋ ๊ฐ ์นํฐ๋ง๋ค ํ๋์ CRC๋ฅผ ์ ์ฅํ๋ฉฐ ๋์คํฌ์์ READ ์๋ฌ๊ฐ ๋ฐ์ํ๋ค๋ ๊ฒ์ ๋์คํฌ ์นํฐ์ CRC์ ํด๋น ์นํฐ๊ฐ ์ฝ์ด์ง ํ ๋๋ผ์ด๋ธ ํ๋์จ์ด์ ์ํด ์ฌ๊ณ์ฐ ๋ ๊ฐ์ด ์๋ก ๋ค๋ฅด๋ค๋ ๊ฒ์ ์๋ฏธํ๋ค. ์ฆ๊ฑฐ์ด๋ฏธ์ง ํฌ๋งท - ๊ฐ๊ฐ์ ํ์ผ์ ์ ํํ๊ฒ ์น.. For3nsic/Forensic 2015. 10. 29. Forensic ์ฆ๊ฑฐ๋ถ์ํ๊ธฐ ์ ์ฆ๊ฑฐ ๋ถ์ํ๊ธฐ์ ์ ํด์ผํ๋ ์์ ์ผ๋ก ํฌ๋ ์ ์ ์ฐจ์์ ์ฆ๊ฑฐ PCํ๋๋์คํฌ๋ฅผ ๋์คํฌ ๋ณต์ฌ๊ธฐ์ ๋ฃ๊ณ ๊ณต ํ๋์ ์นํฐ ๊ทธ๋๋ก ์ฎ๊ธด ํ ํด๋น ์ฎ๊ฒจ์ง ๋ฐ์ดํฐ๋ฅผ ๊ฐ์ง ์ฆ๊ฑฐ ์ฌ๋ณธ ํ๋๋์คํฌ๋ฅผ ๋ถ์ํ๊ธฐ ์ ์ ํด๋น ํ๋๋์คํฌ์ ์๋ณธ ํ๋๋์คํฌ์ SHA ํด์, md5 ํด์๋ฅผ๋น๊ตํด์ ๊ฐ์ ํ Read-Only ์ํ๋ก ๋ถ์์ ์์ํด์ผ ํ๋ค.์ฆ๊ฑฐ ๋ถ์ ๋ฐฉ์์๋ ๋๊ฐ์ง ๋ฐฉ์์ด ์กด์ฌํ๋๋ฐ 1) ์ฌ๋ณธ HDD๋ฅผ ๋ง์ดํธ ์์ผ์ ๋ถ์ํ๋ ๋ฐฉ๋ฒ2) ์ฌ๋ณธ HDD๋ฅผ ๋ ํ๋ฒ ์ด๋ฏธ์ง๋ก ๋ ์ ์ด๋ฏธ์ง ํ์ผ ์์ฒด๋ก ๋ถ์ํ๋ ๋ฐฉ๋ฒ์ด ์๋ค.HDD RPM ์๋์ ์ํด ์๋๊ฐ ๋ฌ๋ผ์ง๊ธฐ ๋๋ฌธ์ ๋ณธ์ธ HDD๊ฐ SSD(์๋ฐ ์๋ ๋๋ค)๋ผ๋ฉด ์ด๋ฏธ์ง๋ก ๋ ์ ๋ถ์ํ๋๊ฒ ์ด๋น ํ๊ท 120MB/s๋ก ๋ถ์์ด ๊ฐ๋ฅํ๋ค. ๊ฐ์ฅ ์ฒซ๋ฒ์งธ๋ก ํด์ผํ ๋์คํฌ ํด์๊ฐ ๊ฒ์ฆ But whit.. For3nsic/Forensic 2015. 10. 29. ์ด์ 1 2 3 ๋ค์ 728x90 ๋ฐ์ํ