| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- FTK Imager
- Strings
- XSS
- Volatility
- 인시큐어뱅크
- igoat
- lord of sql injection
- SQL Injection
- ctf
- 안드로이드
- 2018
- elasticsearch
- foremost
- frida
- CTF-d
- vulnhub
- beebox
- 포렌식
- ESXi
- imageinfo
- Docker
- filescan
- dreamhack
- kibana
- Openstack
- diva
- base64
- Suninatas
- InsecureBank
- otter
- Today
- Total
Information Security
가상 볼륨의 탐지와 분석 연습문제 본문
1. 'Episode07.L01' 파일을 다운로드한다.
- 다운로드 곳 : https://github.com/bjpublic/winsecurityhttps://github.com/bjpublic/winsecurity
- MD5 해시값 : 9D5804B8074626A169576FFB65CA56E2
2. FTK Imager에 'Episode07.L01' 파일을 추가한다.
① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.
② [File] ⇒ [Add Evidence Item] ⇒ [Image File] ⇒ **[Browse]**를 클릭한 후 'Episode07.L01' 파일을 로드한다.
③ 왼쪽 트리 구조에서 이미지 파일에 포함된 폴더와 파일을 확인한다.
3. 'Episode06.L01'에서 모든 폴더와 파일을 Export 한다.
4. Autopsy를 실행하여 새로운 Case를 만든 음, [Add Data Source] ⇒ [Logical Files]에서 Export 된 최상위 폴더를 추가한 후 [Configure Ingest Modules]를 선택하여 데이터를 처리한다.
5. AutoPsy의 분석 화면이 열리면 왼쪽 트리의 Data Source에서 추가된 폴더와 파일을 확인한 후, 아래의 사항을 분석한다.
① 왼쪽 하단 [Results] ⇒ [Extracted Contents] ⇒ [Encryption Suspected] 카테고리에 등록된 1개의 암호화 볼륨에 관한 컨테이너를 확인한다.
② 왼쪽 하단 [Results] ⇒ [Extracted Contents] ⇒ [Run Programs] 카테고리에 등록된 2개의 암호화 프로그램에 대한 실행 흔적을 확인한다.
③ 왼쪽 하단 [Results] ⇒ [Extracted Contents] ⇒ [Web Cookies], [Web Downloads], [Web History] 카테고리에 등록된 패스워드 자동 생성 웹사이트에 대한 접근 흔적을 확인한다.
6. OSForensics 프로그램을 실행하고, Case를 만들고, 위 Export 된 폴더를 추가한다. (또는 'Episode07.L01' 이미지 파일을 추가한다.)
① OSForensics Trial Version을 선택한다.
② [Manage Case] ⇒ [New Case]를 클릭한 후, Case 이름을 넣고, Investigate Disk from Another Machine을 선택한다.
③ 하단에 케이스를 저장할 폴더를 지정한다.
④ [Add to Case] ⇒ [Device] ⇒ **[Evidence Source]**에서 Folder/Network Path를 선택하여 'Export' 폴더를 추가한다.
7. OSForensics 프로그램으로 다음의 사항을 분석한다.
① [Case Items]에서 [Open]**을 클릭하거나 왼쪽 메뉴에서 [File System Browser]를 선택하여 폴더와 파일을 탐색한 후, 암호화 볼륨과 관련 파일을 확인한다.
② 위 [File System Browser]에서 'Downloads' 폴더를 찾아 인터넷에서 다운로드한 2개의 암호화 프로그램을 확인한다.
③ 위 [File System Browser]에서 'Google Chrome' 접속에 관한 아티팩트 4개를 찾은 후, 각각의 아티팩트를 더블 클릭하면 [SQL Database Browser] 창이 보이고, 그것을 이용하여 패스워드 자동 생성 웹사이트에 대한 접근 흔적을 확인한다.
8. Accessdata Registry Viewer를 실행하여 NTUSER.DAT 파일을 추가하여, 아래의 사항을 분석한다.
- NTUSER.DAT 레지스트리에서 UserAssist 키를 찾아 암호화 볼륨 생성 프로그램의 실행 흔적을 확인한다.
9. Belkasoft Evidence Center X 프로그램을 실행여 [Create Case] ⇒ Create Case 창에서 사건명과 분석 결과를 저장할 폴더를 지정한 후 [Create]를 클릭 ⇒ [Add a new data source to the case] ⇒ [Add existing] ⇒ [Image] 순으로 클릭하여 'Episode 07.L01' 파일을 추가하고 [Next]를 클릭하여 데이터를 처리한 다음, 다음의 사항을 분석한다.
① [Artifacts] ⇒ [Overview] ⇒ [Browsers] ⇒ [URLs]에서 Truecrypt, Veracrypt, Passwordsgenerator를 각각 검색하여 그 결과를 살펴본다.
② [Artifacts] ⇒ [Overview] ⇒ [Downloads]에서 Truecrypt, Veracrypt의 다운로드 내역을 확인하고, 데이터의 출처를 파악한다.
③ [Artifacts] ⇒ [Overview] ⇒ [Prefetch files]에서 Truecrypt와 Veracrypt의 프로그램 실행 내역을 확인한다.
④ [Artifacts] ⇒ [Overview] ⇒ [System files] ⇒ [Explorer programs] ⇒ [Programs]에서 프로그램의 실행 내역을 확인하고, 데이터의 출처를 파악한다.
.
'포렌식 > 윈도우 디지털 포렌식 완벽 활용서' 카테고리의 다른 글
| 네트워크 연결정보 분석 연습문제 (0) | 2026.02.22 |
|---|---|
| 설치되거나 사용된 주요 프로그램 분석 연습문제 (0) | 2026.02.22 |
| 컴퓨터에 연결된 외부 장치 분석 연습문제 (0) | 2026.02.21 |
| 컴퓨터의 주된 사용자에 관한 분석 (0) | 2026.02.21 |
| 디스크와 파티션 연습문제 (0) | 2026.02.16 |
