wintersnowaAa wintersnowaAa

이번에는 3번 문제를 풀어야겠다.3-1번 문제더보기내부자료를 외부로 유출한 파일(시나리오 원본)과 관련 파일을 찾고 증거의 속성을 기재하라.이건 앞에 2-1번 문제에서 나온 명량.pdf에 대해서 말하는 것 같다.근데 이것과 관련된 파일을 찾고 증거의 속성을 기재하라는 것은 USB 접속 로그 기록 같은 것을 말하는 것일까.비트낭님께서 풀이하신 것을 보면, msg 파일 (메일 파일)을 확인하셨다.디스크 브라우징쪽에서 File Types - By MIME Type - application - vnd.ms-outlook 을 통해서 메일을 확인하셨다.하지만 혹시 모르니 나는 키워드 검색을 통해서 찾아내보았다..msg 로 키워드를 검색해보면 많이 나오진 않는다.대략 다 합쳐서 7일 파일들이 보인다.이 중에 중요하다..

다시 돌아와서 2번 문제를 풀어봐야한다.2-1번 문제더보기2-1번의 문제는 SHA1 값이 98debd6a350baccb3e25fc7c2cd5de5ea09a7488 인 파일을 찾고 파일명, 크기, 시간 정보를 구해야한다.비트낭님께서는 Encase의 파일 확장자와 시그니처의 분석 기능을 이용해서 풀으셔서 FTK Imager로 문제를 풀어보려는 나한테는 한계가 있는 문제였다. (정확하게는 너무 힘든 노가다성을 띄는 문제다.)비트낭님께 이런 경우에는 어떻게 풀으냐고 물어봤는데Autopsy를 추가적으로 사용하여 풀이한 pdf 파일을 참고하라고하셔서 한 번 보았다.autopsy로 새로 case를 만들었다.이름은 2018로 지었다.디스크 이미지를 분석할 것이니맨 위에꺼로 정해주고파일시스템을 복구해놓고 저장한 2018..

음...아무래도 NTFS 공부도 미뤄야겠다.실기 공부를 하다보니까 이런 저런 막히는 구간이 많았네.해당 문제는 비트낭님의 Notion을 참고하여 풀었다.https://bitnang.notion.site/EnCase-2018-72636be3fe5d4a5c91b087d3d1050c55사실 풀면서 풀이는 안보고 풀어봤는데 일단 1번 문제까지는 술술 풀렸는데 2번부터 막혀서 난항이 있었다...그리고 Encase는 상업화된 프로그램이라서 회사나 기관에 소속되어 라이선스를 빌려서 도구를 사용하지 못하는 학생들은 어떻게 풀어야하는지 비트낭님께 여쭤보고 풀이를 쓴다. [EnCase]2018 모의 문제(윈도우포렌식) | Notion모든 화면은 Ctrl + Enter 를 통해 큰 화면으로 볼 수 있습니다.bitnang.n..

그동안 디지털포렌식 2급 필기 시험 공부하느라 공부를 못 했다...이제 드디어 파일시스템 공부를 다시 잡을 수 있겠구나 기쁘다.오랜만에 보니까 가물가물 기억이 나긴한데 다시 봐보자.지난번까지는 $FILE_NAME 속성에 대해서 분석했다.$DATA의 속성타입ID 값은 0x80이다.지난번 포스팅을 보아하니, Attribute들이 연속적으로 이어져서 나왔고,이번에 $DATA도 마찬가지로 가장 최근에 포스팅한 $FILE_NAME 이후에 바로 나타났다.기존에 공부했던대로 공통 속성 헤더부터 차근차근 분석해보자.$DATA에서 하나 더 주의해야할 점은 이전의 포스팅에서 다룬 속성들은 Resident 속성들이지만, $DATA는 Non-Resident 속성 값이라는 것이다.그러면 이번 포스팅의 개요는1. 공통 속성 헤더..

이번에는 $FILE_NAME이다.이전의 $STANDARD_INFORMATION은 공통속성헤더 이후에 나타났으며, 0x10의 값을 시작 지점에 갖고 있었다.이번에 알아볼 $FILE_NAME은 0x30의 값을 시작 지점에 갖게 된다.$STANDARD_INFORMATION은 0x10을 포함한 데이터의 크기가Common Attr Header(0x10) + Attr Header(Resident) (0x8) (속성 이름이 있다면 0x10) + Attribute Content (0x48)으로 0x10 + 0x8 + 0x48 = 총 0x60의 크기를 가졌었다.이번에 알아볼 $FILE_NAME 또한 Resident 속성에 해당하며,구조는 위와 같다.이렇게 구성되는듯하다. (뒤의 Name은 나중에 계산하려고 뺏다.)근데 ..

이전 포스팅에서 말했던 속성의 값을 적게 담을 경우에는Resident Header를 사용하게 된다.많이 담을 경우에는 Non - Resident Header기준은 680bytes 이다.그 중 일반 파일은$STANDARD_INFORMATION (0x10)$FILENAME (0x30)$DATA (0x80)속성들을 가진다. 여기서 0x10, 0x30, 0x80 오프셋은 MFT Attribute 값 기준으로 오프셋이다.MFT Entry에서 설명했듯이MFT의 구조는MFT Entry HeaderFixup ArrayAttr HeaderAttr ContentAttrHeaderAttrContent...반복End MarkerUnusedSpaceMFT Entry는 0x30의 크기Fixup Array는 0x8의 크기이다.At..

Resident Header와 Attribute Content에 대해서 알아봐야겠다. 더보기Resident Header Resident Header는 앞서 포스팅한 Common Attribute Header 이후에 바로 이어지는 값으로이 또한 16바이트의 크기를 가진다. 지난번에 0x11aa047까지가 공통 속성 헤더였으므로,0x11aa048부터 Resident 헤더라고 보면될듯하다.표시해보면....이게 전체 Resident 헤더 일 것이다.이전에 나온 $MFT에서 공통 속성 이후의 데이터가 Resident Header임을 알고,데이터의 크기까지 알았으니각 데이터들이 어떤 것을 의미하는지 알아보자.더보기0x48 00 00 00Size of Content으로 속성 컨텐츠의 크기를 나타낸다.Resident ..

현재 시각 오후 1시다시 공부를 시작해보자 이번에는 Fixup Array과 Attributes에 대해서 알아볼 것이다.더보기Fixup Array Fixup Array는 MFT Entry에서 오류를 발견하기 위해서 만들어졌다.MFT Entry는 2개의 섹터 즉 1024바이트 만큼의 영역을 사용한다.이전 포스팅에서 0x30의 오프셋만큼의 위치에서 Fixup Array가 시작됨을 알 수 있었다.그리고 바로 옆의 0x03 00의 값이 Fixup Array의 갯수로 3개였다.Fixup Array는 기본적으로 2바이트의 값을 시그니처로 가지므로2*3으로 6바이트를 시그니처로 사용한다는 것이다.시그니처는 그때 MFT Entry에 따라서 값이 매번 다른듯하다.다른분들 포스팅에는 시그니처 값이 0x04 00, 0x4A ..