컴퓨터의 주된 사용자에 관한 분석

1.  'Episode03.L01' 파일을 다운로드한다. 

• 다운로드할 곳 : https://github.com/bjpublic/winsecurity
• MD5 해시값 : A43FF186B98B6843B48F7696A5F97C7F

---

2.  FTK Imager에 'Episode03.L01' 파일을 추가한다.

① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.
② [File] ⇒ [Add Evidence Item] ⇒ [Image File] ⇒ [Browse]를 클릭한 후 'Episode03.L01' 파일을 로드한다.

③ 왼쪽 트리 구조에서 이미지 파일에 포함된 데이터를 확인한다.

---

3.  'Episode03.L01'에서 모든 폴더와 파일을 Export 한다.

---

4.  AutoPsy를 실행하여 새로운 Case를 만든 다음, [Add Data Source]  ⇒ [Logical Files]에서 Export된 최상위 폴더를 추가한 후 [Configure Ingest Modules]를 선택하여 데이터를 처리한다.

---

5.  AutoPsy의 분석 화면이 열리면 왼쪽 트리의 Data Source에서 추가된 폴더와 파일을 확인한 후, 아래의 사항을 분석한다.

① 왼쪽 하단 [Results] ⇒ [Meta Data] 카테고리에 등록된 2개의 문서파일의 작성자를 확인한다.

② OneDrive의 계정 정보가 포함된 GetItems[1].json 파일을 찾아 OneDrive 계정 사용자에 관한 정보를 확인한다.

---

6.  Accessdata Registry Viewer를 실행하여 SAM 파일을 추가하여, 아래의 사항을 분석한다.

① SAM 레지스트리에서 gdHong의 V값을 찾아, AutoPsy에 추가된 SID와 비교한다.

② SAM 레지스트리의 F값에서 마지막으로 로그온 한 일시를 확인한다.

---

 

• 마지막 로그온 일시: 2020년 10월 24일 05:19:11 (UTC)
• 05:19:11 (UTC) + 9시간 = 14:19:11 (KST)

7. Accessdata Registry Viewer에 SOFTWARE 파일을 추가하여, 등록된 사용자명을 확인한다.

---

8. Belkasoft Evidence Center X 프로그램을 실행하여 [Create Case] $\Rightarrow$ Create Case 창에서 사건명과 분석 결과를 저장할 폴더를 지정한 후 [Create]를 클릭 $\Rightarrow$ [Add a new data source to the case] $\Rightarrow$ [Add existing] $\Rightarrow$ [Folder] 순으로 클릭하여 위 3항에서 Export된 최상위 폴더를 추가한 후, [Next]를 클릭하여 데이터를 처리한 다음, 다음의 사항을 분석한다.

① [Artifacts] ⇒ [Structure] 탭에서 커피 관련 문서파일의 작성자를 확인한다.

② 우측 상단의 [Add a filter] 창을 열어 위 ①에서 확인된 작성자 이름으로 키워드 검색을 수행한 후, 발견된 윈도우 아티팩트를 확인한다.

③ [File System] 탭에서 아이튠즈 동기화 관련 데이터(.plist)를 분석하여 동기화된 애플 기기의 사용자 이름을 확인한다.

④ [Artifacts] ⇒ [Structure] 탭에서 주된 사용자 계정을 찾은 후, 마지막으로 로그온 한 시각, 마지막으로 패스워드를 변경한 시각, 마지막으로 로그온을 실패한 시각, 로그온 횟수를 각각 확인한다.

⑤ [File System] 탭에서 OneDrive 관련 파일을 찾고, 해당 파일의 내용을 검색하여 클라우드 사용자의 이름을 확인한다.