윈도우 아티팩트 요소
분석 요소(Analysis factors)파일 시스템 아티팩트(FileSystem Artifact)파일 시스템과 관련된 분석 내용은 사실, 디스크 및 파일 시스템 분석 과정에서 통합적으로 다루는 것이 옳다. 하지만 전통적으로 윈도우에서 가장 많이 사용하는 파일 시스템인 NTFS의 경우에는 파일 시스템 메타 데이터를 또다른 파일 형태로 관리하기에, 아티팩트 분석 시 같이 추출하여 분석하기에 용이하고, 시간 흐름에 따른 파일의 상태 등과 같은 정보를 제공하여 시스템 분석에 상당한 도움을 준다는 특징이 있다.따라서, 분석 대상 시스템의 파티션이 NTFS로 포멧되어 있다면, 반드시 관련 아티팩트를 수집하여 분석을 진행할 필요가 있다. 웹 아티팩트(Web Artifact)인터넷에 접속하기 위한 목적으로 사용되는 ..
2015.09.28
no image
LNK File ( Windows ShortCut)
Lnk FileLnk 확장자 파일은 보통 바로가기라 하면 된다. 하지만 바로가기라고만 표현하기에는 너무나 많은 정보를 포함하고 있기에 포렌식의 관점에서 이에 대하여 다루고자 한다. 링크파일은 주로 아래의 위치에 많이 리스트화 되어 존재한다. # 바탕화면(Desktop) 폴더Windows XP : C:\Documents and Settings\\DesktopWindows 7 : C:\Users\\Desktop# 최근문서(Recent) 폴더 Windows XP : C:\Documents and Settings\\RecentWindows 7 : C:\Users\AppData\Roaming\Microsoft\Windows\Recent# 시작프로그램(Start) 폴더 Windows XP : C:\Documents..
2015.09.27
no image
Jump List
Jump List 윈도우 7 이전에는 Recent와 UserAssist로 사용자의 편의성을 위하여 목록들을 유지하였다. 하지만 7에 와서는 이 두개에 더해 새로운 기능이 추가되었는데 바로 점프리스트이다.점프 리스트란 작업 표시줄에서 아이콘에 마우스를 우클릭하면 이전에 열었던 목록이나 자주 여는 파일의 목록들이 나타난다. 이를 점프 리스트라 한다.오른쪽의 그림에서는 최근의 항목들만 존재하지만 이외에도 크롬으로 확인을 해볼 경우 자주 들어가는 사이트와 최근에 닫은 탭까지 점프리스트에 유지가 되는 것을 확인할 수가 있었다.다. 아래는 다른 항목들을 나타내 준다. Recent(최근 항목) : 응용프로그램을 통해 최근 열람한 파일 Frequent(자주 사용하는 항목) : 응용프로그램을 통해 자주 열람하는 파일 T..
2015.09.27
no image
File System Tunneling
File System Tunneling파일시스템 터널링이란 짧은 시간동안 해당 폴더에 삭제된 파일의 이름과 같은 파일을 생성할 경우 생성시간이 유지된다는 개념이다. 기본적으로 시간은 15초이며 이는 FAT와 NTFS에서 기본적으로 지원하는 기능이다.이는 사실상 두번째로 생성된 파일이 삭제된 파일의 메타데이터(타임스탬프)를 재사용 하는 것이다. 이는 파일이 제거될 때 제거된 파일의 메타데이터는 임시적으로 저장되는데, 이 임시로 저장된 메타데이터는 같은 파일의 이름이 생성될 경우 해당 파일을 가리키며 결국 타임스탬프가 유지된다. Practice - 1간단한 실습을 해보자면 아래의 그림과 같이 dir /tc 옵션을 통하여 파일의 생성시간을 확인할 수가 있다. 처음의 file1의 생성시간은 PM 06:33으로 ..
2015.09.23
no image
Web Forensic
Web Forensic 웹 포렌식이란 흔히 사용하는 웹 브라우저를 통해 생기는 아티팩트들을 수집하고 분석하는 것을 말한다. 현대에 웹 브라우저는 우리와 땔 수 없는 관계가 되어있으므로 이를 통한 정보 수집은 결코 시간낭비적인 것이 아니라, 오히려 정황 증거들을 수집할 수 있게 도와주므로 분석의 길잡이 역할을 해준다. 웹 브라우저로 다양한 프로그램들이 존재하지만 여기서는 자주 쓰이는 몇개의 브라우저에 대해서만 다룰 것이다. 각 브라우저에서 공통적으로 존재하는 요소들에 대하여 알아보자. Cache 웹 캐시는 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터로 한번 이상 접속하였던 웹 사이트를 다시 접속할 때, 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 이용해 속도를 향상시키고자..
2015.09.19
no image
Real Digital Forensic Level 1
문제 확인이번 문제도 이전과 비슷하게 디스크 파일을 주는 것 같다. 우선 다운을 받으면 13~~로 시작하는 파일을 다운 받을 수가 있다. 바로 이어서 분석을 시작하보자. 분석HxD로 열어서 확인을 해보면 PK 로 시작하는 것을 확인할 수가 있다. 맨앞의 시그니처가 50 4B 03 04 로 시작하는 것을 확인할 수가 있으며 이에 해당 하는 시그니처를 찾아보니 ZIP, DOCX, PPTX, JAR 등 다양하다. 하지만 문제에서 Disk라고 했으므로 우리는 Zip이라 생각하고 진행을 해보자. 압축을 해제하면 sdc.dd 라는 파일이 하나 발견된다. 이 파일에서 우리는 단서를 찾아내어야 한다. 단서를 찾는 방법은 파일 카빙의 기법과 동일하게 시그니처를 찾는 방법을 사용했다. HxD로 연다음에 각 파일의 시그니처..
2015.09.18
no image
Real Digital Forensic Level 0
문제 확인http://real-forensic.com/ 에 접속을 하여 Registration을 클릭하고 닉네임과 이메일을 입력하면 해당 이메일로 아래의 메일이 도착하는 것을 확인할 수가 있다. 그리고 해당 플래그를 입력하면 Level 0 의 문제를 받을 수가 있다.플래그를 입력하고 문제를 다운 받는다. 파일의 이름은 6186ae520a5316d4c57a630b3364f170 이다. 이제 어떻게 해야할지 아무런 말이 없으니 분석을 시작해보자. 분석HxD로 파일을 열어서 확인해보면 아래와 같은 바이너리를 확인할 수 있다. 대부분의 파일을 시그니처를 갖고 맨 앞에 갖고 있으므로 이 파일에 대한 시그니처를 확인해본 결과 이는 .gz 인것을 확인할 수가 있다. 즉 압축파일이다. 따라서 우리는 이를 압축해제 해야..
2015.09.18
no image
Covert TimeStamp
TimeStamp포렌식이나 리버싱을 하다보면 HxD 같은 툴을 이용해서 바이너리를 직접 확인해야 하는 경우가 많다. 그러면서 각 파일들의 구조도 보게되며 많은 구조들을 접할 수 있게된다. 그 중에서 항상 어딜가나 빠지지 않는 것이 바로 타임스탬프이다. 이러한 타임스탬프의 경우 그리 중요하지 않게 여기기도 하지만 포렌식에 있어서 시간은 사건에 직접적으로 관련이 있으므로 중요하다. 이러한 타임스탬프의 경우 다양한 툴 PEViewr나 PrefetchView 등 많은 프로그램이 자체적으로 확인을 해서 나타내준다. 하지만 이번에 포스팅을 하는 가장 큰 이유는 프리패치와 카빙을 공부하면서 직접 바이너리로 봐야할 경우가 있을 것 같기에 포스팅을 해본다. 4WebHelp시간을 변환해주는 다양한 툴들이 존재하겠지만, 필..
2015.09.18

분석 요소(Analysis factors)


파일 시스템 아티팩트(FileSystem Artifact)

파일 시스템과 관련된 분석 내용은 사실, 디스크 및 파일 시스템 분석 과정에서 통합적으로 다루는 것이 옳다. 하지만 전통적으로 윈도우에서 가장 많이 사용하는 파일 시스템인 NTFS의 경우에는 파일 시스템 메타 데이터를 또다른 파일 형태로 관리하기에, 아티팩트 분석 시 같이 추출하여 분석하기에 용이하고, 시간 흐름에 따른 파일의 상태 등과 같은 정보를 제공하여 시스템 분석에 상당한 도움을 준다는 특징이 있다.

따라서, 분석 대상 시스템의 파티션이 NTFS로 포멧되어 있다면, 반드시 관련 아티팩트를 수집하여 분석을 진행할 필요가 있다.


웹 아티팩트(Web Artifact)

인터넷에 접속하기 위한 목적으로 사용되는 웹 브라우저는 문서작업, 게임과 더불어 PC의 일반적인 사용 목적이기도 하며, 사용자의 성향, 관심사를 파악할 수 있는 흔적을 많이 남기게 되므로 포렌식 조사시 매우 중요한 역할을 한다.

분석가는 주로 웹 히스토리, 웹 캐시, 웹 쿠키, 다운로드 파일 등을 통해 사용자의 웹 브라우저 사용 내역을 조사하게 된다. 또한 인터넷 익스플로러, 크롬, 사파리, 파이어폭스, 오페라가 5대 웹 브라우저로서 주 분석 대상이 되는데, 익스플로러를 제외한 브라우저는 비 윈도우 계열의 시스템이나 모바일 운영체제에서도 비슷한 형태로 흔적을 남기기 때문에, 분석 방법을 숙지해둘 경우 분석이 큰 도움이 될 것이다.

http://kali-km.tistory.com/entry/Web-Forensic


이벤트 로그(Event Log)

윈도우 이벤트 로그는 윈도우의 특정 동작(이벤트)에 관한 내용을 기록하여 보관하는 바이너리 로그 어플리케이션이다. 사용자의 행위보다는 시스템의 운용 상태를 알 수 있는 정보가 많이 포함되기 때문에, 부정 조사보다는 침해사고 대응에 조금 더 유용하다는 특징이 있지만, 운영체제 설정에 따라 사용자의 기본적인 시스템 운용까지도 파악할 수 있는 로그를 기록하기 때문에, 조사 시 꼭 살펴볼 필요가 있다.


프리패치 & 슈퍼패치(Prefetch & Super fetch)

%SystmRoot%\Prefetch\*.pf

프리패치는 원래 보조기억장치와 주기억장치의 I/O속도 차이에 따른 시스템 부하를 최대한 극복하고자 자주 사용되는 응용프로그램을 미리 메모리에 로드하기 위해 사용된 윈도우 시스템의 요소이다.

이러한 프리패치는, 본연의 역할을 충실히 수행하기 위해 실행파일에 대한 다양한 정보를 내부에 기록해 두고 있다는 특징이 있다. 디지털 포렌식 관점에서 실행파일의 사용 흔적을 조사할 때 프리패치에 기록된 내용은 반드시 살펴볼 필요가 있다.

http://kali-km.tistory.com/entry/Prefetch-Format


바로가기 숏컷(lnk, Shortcut) 

윈도우 바로가기 파일은 시스템 사용자가 편의를 위해서 사용하는 경우도 많지만, 운영체제가 자동 실행이나 최근 접근한 데이터에 관한 정보를 관리할 때에 사용하기도 한다.

바로가기 파일에는 링크 대상 파일에 관한 생성.접근.수정시간 정보 및 원본 위치 등에 관한 기록을 포함하고 있으므로, 정보 유출에 관한 조사나 시스템 사용에 관한 시간 관계를 정리할 때 유용하게 사용되는 경우가 많다.

http://kali-km.tistory.com/entry/LNK-File-Windows-ShortCut


점프 리스트(Jump list) 

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recen\AutomaticDestinations  or CustomDestinations 

점프리스트는 Windows 7부터 추가된 기능으로 바로가기의 확장형이라고 볼 수 있기 때문에, 정보의 해석과 활용은 바로가기 링크 파일과 유사하다. 전용 포멧을 사용하는 .CustomDestinations파일과 컴파운드 파일 포맷을 사용하는 .automaticDestination-ms파일이 각각 존재하기 때문에, 전용 도구와 컴파운드 뷰어를 활용하여 분석이 가능하다.

바로가기 파일 분석 시 점프리스트가 존재한다면 반드시 교차 분석을 하도록 하자.

http://kali-km.tistory.com/entry/Jump-List


시스템 복원 지점(Restore point)

시스템 복원 지점은 안정적인 운영체제의 운용을 위해 주기적으로 시스템의 상태를 기록하여, 중대한 오류가 발생한 경우나 사용자가 원하는 경우 특정 시점으로 시스템의 상태를 돌리기 위해 사용된다.

짐작할 수 있는 바와 같이, 각 시점의 시스템의 상태를 기록하며, 각종 아티팩트나 주요 파일을 같이 저장해 두기 때문에, 과거 시점의 시스템 설정 상태 등을 조사할 때 매우 유용하게 사용된다.

다만, 그 크기가 크고 조사 대상의 내용이 비 효율적으로 많기 때문에 최후까지 분석이 미뤄지는 경우가 많다. 하지만 극한의 상황에서 많은 사건이 시스템 복원 지점에 있는 데이터에 의해 해결되기도 한다는 사실을 반드시 기억하고 활용토록 하자.


휴지통(Recycle)

휴지통에는 사용자가 임의로 삭제했거나 은닉을 목적으로 이동된 데이터가 존재한다. 고맙게도 윈도우 시스템은, 휴지통 폴더 내부에 간단한 형태로 삭제된 파일에 관한 정보를 기록한다. 이에 따라 삭제된 파일의 삭제 시점과 같은 중요 정보를 파악할 수도 있으며, 정보파일에 기록되지 않은 파일은 의도적인 은닉 파일이라고 간주할 수도 있다.


시스템 로그(Windows System Logs)

윈도우 시스템도 간단하게 축적해야할 정보는 텍스트 로그로 기록한다. 대부분, 운영체제 설치 시점부터 지속적으로 발생하는 여러 동작들을 기록하기 때문에 다른 아티팩트와 교차분석하여 결과의 신뢰도를 높일 수 있는 여지를 주기도 하며, 추가적인 정 역시 제공하는 측면이 있다. 따라서, 각 시스템 로그에서 기록하는 정보를 미리 파악해 둘 경우 분석에 큰 도움이 될 것이다.


시스템 임시파일(System Temp)

운영체제를 사용하다보면, 여러가지 이유에서 임시 파일이 생성되고 삭제되는 것이 반복된다. 이와 같은 임시파일의 흔적은, 이를 생성한 어플리케이션의 사용 기록을 입증할 수 있는 단서가 되기도 하며, 중요한 증거가 미처 삭제되지 않은 채 발견될 경우 조사에 큰 도움을 주기도 한다.

그 밖에도 임시폴더가 직접 접근되지는 않는 폴더라는 속성을 악용하여, 데이터를 은닉시키기 위한 목적으로 사용되기도 하는 등, 혹시 모르는 단서를 찾기 위해 임시폴더를 간단히 확인하는 작업을 진행할 필요가 있다. 


미리보기 썸네일(Thumnail)

 %UserProfile%\AppData\Local\Microsoft\Windows\Explore

썸네일은 윈도우 미디어 파일에 대한 미리보기 데이터베이스 파일을 의미한다. 윈도우에서는 그림 파일 등을 열지 않아도, 미리 간단히 내용을 확인할 수 있도록 미리보기 기능을 지원하는데, 이 때 보여지는 작은 그림파일은 특정 데이터베이스에 저장되어 관리된다.

중요한 것은, 원본 파일이 삭제되더라도 썸네일 데이터베이스 내부의 미리보기 파일은 삭제되지 않고 존재할 가능성이 크기 때문에, 원본 파일의 존재 가능성을 입증하는 등에 중요하게 활용될 수 있다.

http://kali-km.tistory.com/entry/Thumbnail-Forensics


윈도우 검색 데이터베이스(Windows search DB) 

윈도우 검색 데이터베이스는, 윈도우 검색에 사용하기 위한 색인 정보를 저장한다. 보통, 빠른 검색을 위해 색인한 결과를 저장하기 위해 사용되지만, 사용자의 기본 폴더나 이메일, 인터넷 히스토리 정보등이 기록되는 경우가 있기 때문에, 조사 시 간단하게나마 짚고 넘어갈 필요가 있는 아티팩트이다.


기타 아티팩트(etc.)

위에서 나열된 아티팩트 이외에도, 스티커 메모나 프린트 스풀링 파일 과 같은 정보들이 다양하게 시스템의 분석을 위해 사용될 수 있으며, 서두에서 설명한 바와 같이 시스템 아티팩트의 범위에는 제한이 없다. 

따라서 분석에 도움을 주는 모든 정보에 관련된 데이터는 시스템 아티팩트로 취급될 필요가 있다.

이와 같은 추가적인 아티팩트는 는 보통, 미리 알려진 아티팩트에서 얻은 키워드를 검색 을 수행하다가 추가적으로 발견되는 경우가 많으며, 이를 놓치지 않고 자신의 스킬셋에  포함해 두었다가 추후 분석에 활용하는 분석가가 진정 경쟁력 있는 분석가임을 잊지 말자.



Reference


http://portable-forensics.com/document.html

http://portable-forensics.blogspot.kr/2014/10/windows-artifact-analysis.html

'Forensic > Theory' 카테고리의 다른 글

USB Artifacts 관련 정리 - 150930  (0) 2015.09.30
Project Spartan Forensic - Edge  (0) 2015.09.30
LNK File ( Windows ShortCut)  (0) 2015.09.27
Jump List  (0) 2015.09.27
File System Tunneling  (0) 2015.09.23

Lnk File


Lnk 확장자 파일은 보통 바로가기라 하면 된다. 하지만 바로가기라고만 표현하기에는 너무나 많은 정보를 포함하고 있기에 포렌식의 관점에서 이에 대하여 다루고자 한다. 링크파일은 주로 아래의 위치에 많이 리스트화 되어 존재한다.


# 바탕화면(Desktop) 폴더

  • Windows XP : C:\Documents and Settings\<user name>\Desktop
  • Windows 7 : C:\Users\<user name>\Desktop

# 최근문서(Recent) 폴더

  • Windows XP : C:\Documents and Settings\<user name>\Recent
  • Windows 7 : C:\Users<user name>\AppData\Roaming\Microsoft\Windows\Recent

# 시작프로그램(Start) 폴더

  • Windows XP : C:\Documents and Settings\<user name>\Start Menu\Programs
  • Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

# 빠른실행(QuickLaunch) 폴더

  • Windows XP : C:\Documents and Settings\<user name>\Application Data\Microsoft\Internet Explorer\Quick Launch
  • Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch


Lnk File Format


Lnk File Format에는 크게 5가지 부분으로 나눌 수가 있다. 

  • ShellLinkHeader(default) : 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보가 저장된다.
  • LinkTargetIDList(optional) : ShellLinkHeader의 HasLinkTargetIDList 플래그가 설정되어 있을때만 존재하는 구조로, 링크된 대상의 다양한 정보를 리스트 형태로 구성해놓은 구조이다.
  • LinkInfo(optional) : ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조로 링크 대상을 참조하기 위한 정보를 가진 구조이다.
  • StringData(optional) : 역시나 링크 대상의 문자열 정보(이름, 상대경로, 작업디렉터리 등)를 저장하는 구조로 ShellLinkHeader에 관련된 플래그가 설정되어 있을 때만 존재한다.
  • ExtraData(optional) : 링크 대상의 화면 표시 정보, 문자열 코드페이지, 환경 변수와 같은 추가적인 정보 저장을 위한 구조이다.

  • ShellLinkHeader 구조

    기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보가 저장된다.

     범위(Hex) 크기(Byte) 이름 설명
    0 – 34 HeaderSize 헤더의 크기로 항상 0x0000004C(76) 값
    4 – 1316 LinkCLSID 클래스 식별자(class identifier;CLSID)로 항상 00021401-0000-0000-C000-000000000046 값
    14 – 174 LinkFlags 링크 대상의 다양한 정보에 대한 플래그
    18 – 1B4 FileAttributes 링크 대상의 파일 특성 정보
    1C – 23 CreationTime 링크 대상의 생성 시간
    24 –  2B AccessTime 링크 대상의 접근 시간
    2C – 33 WriteTime 링크 대상의 쓰기 시간
    34 – 37 FileSize 링크 대상의 크기
    38 – 3B IconIndex 아이콘 인덱스
    3C – 3F ShowCommand 링크가 실행될 때 응용프로그램의 동작 모드
    40 – 41 HotKey 핫키 정보
    42 – 43 Reserved1 예약된 필드 (항상 0)
    44 – 47 Reserved2 예약된 필드 (항상 0)
    48 – 4B Reserved3 예약된 필드 (항상 0)


    LinkTargetIDList 구조
    ShellLinkHeader의 HasLinkTargetIDList 플래그가 설정되어 있을때만 존재하는 구조로, 링크된 대상의 다양한 정보를 리스트 형태로 구성해놓은 구조이다.


    LinkInfo 구조
    ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조로 링크 대상을 참조하기 위한 정보를 가진 구조이다.

    VolumeID 구조에는 DriveType, DriveSerialNumber 등의 정보가 포함되고, CommonNetworkRelativeLink 구조에는 링크 대상의 경로가 포함된다. 경로 정보는 StringData 구조의 정보를 이용해도 얻을 수 있다. 따라서, LinkInfo 구조에서 포렌식적으로 의미있는 정보를 다음과 같다. 


    • DriveType : 링크 대상이 위치한 드라이브 형식
    • DRIVE_UNKNOWN : 0x00000000
    • DRIVE_NO_ROOT_DIR : 0x00000001
    • DRIVE_REMOVABLE : 0x00000002
    • DRIVE_FIXED : 0x00000003
    • DRIVE_REMOTE : 0x00000004
    • DRIVE_CDROM : 0x00000005
    • DRIVE_RAMDISK : 0x00000006
    DriveSerialNumber : 링크 대상이 위치한 드라이브의 시리얼 번호

    LocalBasePath : 링크 대상 경로



    결론


    링크 파일을 통하여 알 수 있는 정보는 꽤 많다. 아래는 LNK Parser를 통하여 보이는 화면을 캡처한 것으로 링크된 파일의 이름과 해당 파일의 경로, 그리고 파일의 사이즈 비교를 통하여 찾고자 했던 파일의 크기와 비교를 할 수가 있으며, 바로가기 생성시간, 접근시간, 쓰기 시간 등과 그리고 타겟 파일에 대한 타임스탬프가 존재한다. 또한 마지막으로 해당 파일이 만약 USB와 같은 외부 저장장치에서 실행이 됐다면 그 Volume Label과 해당 드라이브의 시리얼 넘버를 알 수가 있다.



    참고

    http://forensic-proof.com/archives/607


    'Forensic > Theory' 카테고리의 다른 글

    Project Spartan Forensic - Edge  (0) 2015.09.30
    윈도우 아티팩트 요소  (0) 2015.09.28
    Jump List  (0) 2015.09.27
    File System Tunneling  (0) 2015.09.23
    Web Forensic  (0) 2015.09.19

    Jump List

    Kail-KM
    |2015. 9. 27. 14:50

    Jump List




    윈도우 7 이전에는 Recent와 UserAssist로 사용자의 편의성을 위하여 목록들을 유지하였다. 하지만 7에 와서는 이 두개에 더해 새로운 기능이 추가되었는데 바로 점프리스트이다.

    점프 리스트란 작업 표시줄에서 아이콘에 마우스를 우클릭하면 이전에 열었던 목록이나 자주 여는 파일의 목록들이 나타난다. 이를 점프 리스트라 한다.

    오른쪽의 그림에서는 최근의 항목들만 존재하지만 이외에도 크롬으로 확인을 해볼 경우 자주 들어가는 사이트와 최근에 닫은 탭까지 점프리스트에 유지가 되는 것을 확인할 수가 있었다.다. 아래는 다른 항목들을 나타내 준다.

  • Recent(최근 항목) : 응용프로그램을 통해 최근 열람한 파일 
  • Frequent(자주 사용하는 항목) : 응용프로그램을 통해 자주 열람하는 파일 
  • Tasks(작업) : 경우에 따라 미디어 재생, 새 문서 작성 등의 기능을 빠르게 이용
  • Pinned(사용자 고정) : 응용프로그램의 사용이 종료되어도 작업 표시줄에 응용프로그램 아이콘을 남겨두기 위한 기능(사용자가 자주 사용하는 응용프로그램일 가능성이 크다


  • Path


    점프리스트의 목록은 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 디렉터리에 있는 또 다른 디렉터리에 존재한다. Recent 디렉터리에는 최근에 사용된 파일이나 폴더들의 항목들이 '바로가기'의 형태로 존재하고 있다. 이러한 바로가기에 대해서는 http://kali-km.tistory.com/entry/LNK-File-Windows-ShortCut 을 참고하면 된다.

    Recent에는 바로가기 형태의 파일이 존재하면 점프리스트는 어디에 있단 것인가? 바로 아래의 사진과 같은 경로에 위치하고 있다. 아래에는 2개의 디렉터리가 존재하고 있는데 두 곳에 각 각의 점프리스트가 존재한다.

    AutomaticDestinations : 최근 사용한 목록(Recent)나 사용자가 직접 고정시킨 항목(Pinned)가 위치하고 있다.

    CustomDestinations : 자주 사용되는 목록(Frequent)나 작업목록(Tasks)가 존재하고 있다.


    저장 형태


    각 폴더에는 아래와 같이 알수 없는 이름의 긴 name의 파일들이 존재한다. 앞의 16글자는 바로 App ID로 각 App에 해당하는 ID를 띄고 있으며 각 파일의 내부를 확인해보면 여러 항목들이 존재하는 것을 확인할 수가 있다. 이러한 App ID는 http://kali-km.tistory.com/entry/Jump-List-App-ID  에서 Ctrl+F로 찾아서 어떠한 프로그램의 점프 리스트 목록인지 확인할 수가 있다.

    내용을 확인할 때는 HxD로 열어서 확인하거나 BinText를 통해서도 확인이 가능하다. 하지만 정확히 분석하기 위해서는 JumpList와 관련된 툴을 이용하는 것이 좋다.


    결론


    이러한 점프 리스트를 통하여 분석가는 사용자의 응용프로그램 사용흔적 및 패턴을 파악할 수가 있으며, 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장되어 있다. 따라서 이러한 사용자의 행위를 파아하거나 정보 유출 사건 분석에 있어서 큰 역할을 기대할 수가 있다.


    참고


    http://forensic-proof.com/archives/1904


    'Forensic > Theory' 카테고리의 다른 글

    윈도우 아티팩트 요소  (0) 2015.09.28
    LNK File ( Windows ShortCut)  (0) 2015.09.27
    File System Tunneling  (0) 2015.09.23
    Web Forensic  (0) 2015.09.19
    Covert TimeStamp  (0) 2015.09.18

    File System Tunneling

    Kail-KM
    |2015. 9. 23. 19:51

    File System Tunneling


    파일시스템 터널링이란 짧은 시간동안 해당 폴더에 삭제된 파일의 이름과 같은 파일을 생성할 경우 생성시간이 유지된다는 개념이다. 기본적으로 시간은 15초이며 이는 FAT와 NTFS에서 기본적으로 지원하는 기능이다.

    이는 사실상 두번째로 생성된 파일이 삭제된 파일의 메타데이터(타임스탬프)를 재사용 하는 것이다. 이는 파일이 제거될 때 제거된 파일의 메타데이터는 임시적으로 저장되는데, 이 임시로 저장된 메타데이터는 같은 파일의 이름이 생성될 경우 해당 파일을 가리키며 결국 타임스탬프가 유지된다.


    Practice - 1


    간단한 실습을 해보자면 아래의 그림과 같이 dir /tc 옵션을 통하여 파일의 생성시간을 확인할 수가 있다. 처음의 file1의 생성시간은 PM 06:33으로 되어있다. 이제 ren 명령어를 통하여 해당 파일의 이름을 file2로 변경하여준다.

    그 후 echo > file1을 통하여 새로운 file1을 생성한다. 여기서 파일의 생성시간을 확인하기 위하여 다시 dir /tc 옵션을 줄 경우 기존의 file1의 생성시간과 같다는 것을 확인할 수가 있다. 저 시점에서의 현재시간은 19:23:09.47로 현재 시간이 아닌 기존 파일의 생성시간을 갖는 것을 확인할 수가 있다.


    이처럼 새로 생성된 파일이 그 내용 또한 갖고 오는지 확인하기 위하여 확인을 해본 결과, 타임스탬프는 가지고 오지만 해당 파일의 내용까지 가지고 오는 것은 아님을 확인할 수가 있었다.


    Practice - 2


    이번엔 직접 악성코드가 어떻게 동작할지 예상을 해보기 위하여 파일 시스템 터널링이 어떻게 동작할지 직접 Python을 통하여 코드를 작성해보고 실행해보았다. 가상의 시나리오는 악성코드가 kernel32.dll을 삭제하고 해당 폴더에 다시 같은 이름으로 악의적인 DLL을 설치하는 과정을 가정해보았다.

    기존의 kernel32.dll의 data는 "ECHO가 설정되어 있습니다." 이지만 해당 악성코드를 실행후에는 "This is File System Tunneling."으로 변화한 것을 볼 수가 있다. 여기서 생성 시간은 유지되므로 대체적으로 운영체제가 설치될 때의 시간과 같은 생성시간(다른 정상적인 주요 DLL과 같이)을 띄고 있다.


    이에 해당하는 코드는 아래와 같다. (...허접하다 참)


    Reference


    http://forensic-proof.com/archives/4829

    'Forensic > Theory' 카테고리의 다른 글

    LNK File ( Windows ShortCut)  (0) 2015.09.27
    Jump List  (0) 2015.09.27
    Web Forensic  (0) 2015.09.19
    Covert TimeStamp  (0) 2015.09.18
    ADS (Alternate Data Stream)  (0) 2015.09.17

    Web Forensic

    Kail-KM
    |2015. 9. 19. 16:51

    Web Forensic


    웹 포렌식이란 흔히 사용하는 웹 브라우저를 통해 생기는 아티팩트들을 수집하고 분석하는 것을 말한다. 현대에 웹 브라우저는 우리와 땔 수 없는 관계가 되어있으므로 이를 통한 정보 수집은 결코 시간낭비적인 것이 아니라, 오히려 정황 증거들을 수집할 수 있게 도와주므로 분석의 길잡이 역할을 해준다. 웹 브라우저로 다양한 프로그램들이 존재하지만 여기서는 자주 쓰이는 몇개의 브라우저에 대해서만 다룰 것이다. 각 브라우저에서 공통적으로 존재하는 요소들에 대하여 알아보자.

    Cache

     웹 캐시는 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터로 한번 이상 접속하였던 웹 사이트를 다시 접속할 때, 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 이용해 속도를 향상시키고자 사용되는 방법이다. 캐시에는 이미지파일, 텍스트파일, 아이콘, HTML파일, XML파일, 스크립트 파일 등 웹 페이지를 표현하기 위한 데이터들이 다양하게 저장되어 있다. 

    Cache의 인덱스 정보로는 캐시 데이터의 위치, 다운로드 URL, 다운로드 시간, 다운로드 크기, 캐시 파일 정보 등을 얻을 수가 있다. 또한 html의 형태로 저장된 캐시의 경우 메일 본문의 가능성이 있으며 바로 열어보기가 가능.

    Cookie

    쿠키란 웹사이트에서 사용자의 하드 디스크에 저장시켜놓는 사용자에 관한 데이터로, 웹 사이트에서 사용자 별로 개인화된 서비스 제공을 위해 사용한다. 주로 자동 로그인이나 쇼핑몰의 열람한 물건 목록, P2P 사이트의 찜해놓은 자료나 다운받은 자료 목록 등과 같은 정보를 알 수가 있다.

    쿠키 정보를 통해서 호스트, 경로, 쿠키 수정시간, 만료시간, 이름, 값을 알 수가 있다. 여기서 호스트란 접속한 사이트를 알 수 있게 해주며 경로를 통해 사용한 서비스를 유추가 가능하며, 쿠키 수정시간을 통하여 해당 사이트에 마지막으로 접속한 시간을 확인할 수가 있다. 마지막으로 이름이나 값을 통해 로그인 아이디 정보에 획득이 가능하기도 하며 사용자의 Unique ID등을 확인할 수가 있다.

    History

    히스토리는 단어 그대로 사용자가 방문한 웹 사이트의 정보에 대하여 알려준다. 이는 사용자의 편의를 위해서 제공된 것으로 예전에 방문한 사이트를 다시 방문하고자 할때 월별이나 일별 목록으로 확인을 통해 접근이 가능하다. 저장 방식에는 직접 접근과 간접 접근이 존재하는데 직접 접근은 URL 입력창에 직접 주소를 입력하는 방식이며 간접 접근은 링크를 통해서 접근하는 방식이다.

    히스토리를 통하여 방문 사이트의 URL, 방문 시간, 방문 횟수, 웹페이지 제목(Title)과 방문 URL 내에 GET 방식으로 포함된 인자값을 통하여 검색어 정보를 추출하거나 아이디나 패스워드 정보를 추출할 수가 있다.

    Download List

    사용자가 의도적으로 선택해서 다운받은 파일에 대한 정보들을 리스트화 해놓은 것이다. 이는 사용자의 의도와는 관계없이 받아지는 캐시와는 구분 되는 것으로 사용자의 편의를 위하여 제공되는 기능이다. 목록을 통해서 한번 다운받았던 파일을 다시 다운 받을 수가 있다.

    다운로드 리스트를 통해 파일의 저장경로, 다운로드 URL, 파일 크기, 다운로드 시간, 다운로드 성공여부 등을 확인할 수가 있다. 그리고 다운받은 목록에는 있지만 현재에는 존재하지 않을 경우 해당 파일을 다시 해당 URL에서 다운받아서 분석이 가능하다.


    Internet Explorer


    Cache

    캐시 정보의 경우 다운로드된 캐시는 Temporary Internet 파일 형태로 저장이 되며 index.dat 파일은 해당 폴더 내 파일들의 Cache 인덱스를 저장하고 있다. 수집 방법으로는 Content.IE5 폴더 아래 , index.dat 을 수집 하거나 Content.IE5 아래의 모든 폴더를 수집하는 방식이 있다. 

    Windows 10 - IE 11 : %UserProfile%\AppData\Local\Microsoft\Windows\INetCache

    \AppData\Local\Microsoft\Windows\WebCache

    History

    History.IE5폴더 아래에 index.dat 파일의 형태로 저장이 된다. 또한 해당 폴더 안에는 다른 폴더들이 존재하는데 이는 해당 기간에 속한 히스토리의 정보들이 들어가 있다. 따라서 수집 방법으로는 index.dat 파일을 수집하거나 폴더 안에 있는 서브 폴더까지 함께 수집하는 방법이 있다.

    Cookie

    실제 쿠키 정보는 "계정명@호스트명.txt" 형식의 쿠키 파일 안에 저장되며, index.dat 파일은 쿠키 파일들의 인덱스 정보를 저장하고 있다. 수집 방법으로는 Cookies 폴더 아래에 index.dat를 수집하거나 폴더 아래의 모든 텍스트 파일을 수집하는 방법이 있다.

    Download List

    IE 9 이후부터 존재하는 기능으로 IEDownloadhistory 폴더 아래 index.dat를 수집하면 된다.


    Chrome


    Cache

    캐시 정보의 경우 ‘data_0 ‘파일에 데이터 인덱스 정보를, data_1, data_2, data_3 파일과 나머지 파일에 캐시 데이터가 저장되며 수집 방법으로는 Cache 폴더 아래 모든 파일을 수집하여야 한다.

    History, Cookie, Download List

    SQLite Database 파일 형태로 각각 저장되며 History 정보의 경우 History에 저장되며, Cookie 정보는 Cookies에 저장이 된다. 마지막으로 Download 정보의 경우 History에 같이 저장이 되어있다. History 정보의 경우, 월별 정보가 ‘History Index <년-월>’ SQLite 파일로 저장되며 Download List 정보는 History 정보와 함께 ‘History’ SQLite 파일 안에 저장된다. 수집 방법으로는 Default 폴더 아래, History, History Index <년-월>, Cookie 파일 수집하여야 한다.


    Firefox


    여기서 <Random> 이라는 디렉터리가 존재하는데 이 <Random>에 해당하는 값은 firefox 폴더 아래 'profiles.ini' 파일 안에 저장되어 있으므로 해당 파일을 참고하면 된다.

    Cache

    캐시 정보의 경우 Cache Map File, Separate Cache Data Files, Three Cache Block Files 와 같이 3가지 구조로 이루어져 있다. 여기서 Cache Map File(_CACHE__)에는 각 Cache 인덱스 정보가 저장되어 있으며 이러한 인덱스 정보를 바탕으로 Meta 데이터와 Content 데이터가 Separate Cache Data Files와 Three Cache Block Files에 저장 된다. 수집하는 방법으로는  Cache 폴더 아래, _CACHE_MAP_, _CACHE_001_, _CACHE_002_, _CACHE_003_ 파일 수집하거나 Cache 폴더 아래, 모든 폴더 수집를 수집하면 된다.

    History, Cookie, Download List

    이 세가지는 모두 SQLite Database 파일 형태로 각각 저장되는데 History 정보의 경우 places.sqlite에 저장이 되며 Cookie 정보의 경우에는 cookies.sqlite 에 저장이 된다. 마지막으로 Download 정보는 downloads.sqlite 저장이 되므로 수집하는 방법은 <Random>.default 아래 places.sqlite, cookies.sqlite, downloads.sqlite 파일을 수집하면 된다.


    Safari


    Cache, History, Cookie, Download List

    Cache 데이터, 인덱스 정보 모두 SQLite Database 인 Cache.db 파일에 저장되며 History, Cookie, Download List 정보는 각각 Plist 파일 형태로 저장된다. History 정보는 History.plist에 Cookie 정보는 Cookies.plist에, 마지막으로 Download List 정보는 Downloads.plist 에 저장이 된다. 따라서 수집 방법으로는 Safari 폴더 아래, Cache.db 파일을 수집해야하며, Cookies 폴더 아래, Cookies.plist 파일 수집, Safari 폴더 아래, History.plist, Downloads.plist 파일 수집을 해야한다.


    Opera


    Cache

    Cache 인덱스 정보는 dcache4.url 파일에 저장되며 Cache 데이터 정보는 cache 폴더 아래, 각 서브 폴더에 파일 형태로 저장된다. 따라서 수집 방법으로는 cache 폴더 아래, dcache4.url 파일 수집하거나 cache 폴더 아래, 모든 서브 폴더 수집를 수집해야 한다.

    History, Cookie, Download List

    History 정보는 global_history.dat에 저장이 되며 Cookie 정보의 경우 cookies4.dat에 저장이 된다. 마지막으로 Download List 정보는 download.dat에 저장이 된다. 그러므로 이를 수집하기 위해선 Opera 폴더 아래의 각 파일들을 수집하여야 한다.


    Edge


     Windows 10으로 넘어오면서 Microsoft는 IE가 아니라 새로운 Microsoft Edge를 배포하였다. 하지만 Edge의 경우 액티브X 라는 비효율적인 시스템으로 인하여 우리나라에선 영향력 있게 자리잡지 못하고 있다. 하지만 MS에서 지속적으로 밀어붙일려고 하는 형태이므로 추가적으로 기록을 해본다.


    Edge의 경우 아직 명확하게 밝혀지고 연구된 것이 적어 아래의 정보도 정확하지는 않을 수가 있지만 그래도 필자의 PC가 현재 Windows 10인만큼 내 PC만큼에서 쓰는건데 한번 찾아보자는 마음으로 검색을 진행하였다.

     \AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\***

     \AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\***

     \AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\***

    우선 위와 같이 총 3개의 폴더에 저장된다고 인터넷에서 검색이 되었지만 각 폴더에 어떤 파일이 저장이 되는지는 아직 정확하게 알지 못한다는 점은 양해를 바란다. 이에 대해서는 추후에 더 알게 되면 수정을 할 것이다.

     위의 경로 중에 하나를 예로 알아본다면 저 폴더의 위치로 이동했을 경우 .DAT 파일과 User라는 디렉터리만 존재하는 것을 확인할 수가 있다. 하지만 다른 폴더들은 감춰진 것으로 존재하지 않는 것이 아니라는 것을 명심해야 한다. CMD를 통해 dir 만을 입력할 경우 눈에 보이는 것과 같이 나오지만 dir /a 옵션을 주면 감춰져있던 디렉터리들을 볼 수가 있다. 이런 식으로 해당 폴더에 접근이 가능하다.

     하지만 History의 경우에는 아무리 찾아도 디렉터리만 존재할 뿐 아무 내용이 없었다. 적어도 별도의 설정을 하지 않은 나의 PC에서 저 위치에 없다는 것은 저 위치가 아니거나 다른 방법으로 접근하거나 아예 저장이 안되었거나..라는 경우의 수가 있다.


    Reference


    http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf

    http://portable-forensics.blogspot.kr/2014/11/web-artifact.html

    http://blueangel-forensic-note.tistory.com/entry/Web-Browser-Forensics-%EA%B0%9C%EC%9A%94

    http://windows.microsoft.com/ko-kr/windows-10/microsoft-edge

    http://stackoverflow.com/questions/31945227/edge-browser-cookie-store-location-and-access


    'Forensic > Theory' 카테고리의 다른 글

    Jump List  (0) 2015.09.27
    File System Tunneling  (0) 2015.09.23
    Covert TimeStamp  (0) 2015.09.18
    ADS (Alternate Data Stream)  (0) 2015.09.17
    Steganography  (0) 2015.09.16

    문제 확인


    이번 문제도 이전과 비슷하게 디스크 파일을 주는 것 같다. 우선 다운을 받으면 13~~로 시작하는 파일을 다운 받을 수가 있다. 바로 이어서 분석을 시작하보자.


    분석


    HxD로 열어서 확인을 해보면 PK 로 시작하는 것을 확인할 수가 있다. 맨앞의 시그니처가 50 4B 03 04 로 시작하는 것을 확인할 수가 있으며 이에 해당 하는 시그니처를 찾아보니 ZIP, DOCX, PPTX, JAR 등 다양하다. 하지만 문제에서 Disk라고 했으므로 우리는 Zip이라 생각하고 진행을 해보자.

    압축을 해제하면 sdc.dd 라는 파일이 하나 발견된다. 이 파일에서 우리는 단서를 찾아내어야 한다. 단서를 찾는 방법은 파일 카빙의 기법과 동일하게 시그니처를 찾는 방법을 사용했다. HxD로 연다음에 각 파일의 시그니처를 찾았다.

    MZ, PK, PNG 등을 찾아보았을때 유일하게 PNG 시그니처를 하나 찾을 수가 있었다. 따라서 이 .dd 파일에는 .png 파일이 있다는 것을 확인할 수가 있었다.



    복구


    파일의 복구 과정은 Level 0 과 같기에 생략하고 역시 칼리리눅스에 있는 Foremost를 이용해서 복구를 하였다. 복구를 하면 아래와 같은 .png 파일을 하나 추출된 것을 확인할 수가 있다. 아래와 같이 플래그가 바로 나타나기에 바로 입력해주면 레벨 2로 진행할 수가 있다.



    'Forensic > WarGame' 카테고리의 다른 글

    Real Digital Forensic Level 0  (0) 2015.09.18

    문제 확인


    http://real-forensic.com/ 에 접속을 하여 Registration을 클릭하고 닉네임과 이메일을 입력하면 해당 이메일로 아래의 메일이 도착하는 것을 확인할 수가 있다. 그리고 해당 플래그를 입력하면 Level 0 의 문제를 받을 수가 있다.

    플래그를 입력하고 문제를 다운 받는다. 파일의 이름은 6186ae520a5316d4c57a630b3364f170 이다. 이제 어떻게 해야할지 아무런 말이 없으니 분석을 시작해보자.



    분석


    HxD로 파일을 열어서 확인해보면 아래와 같은 바이너리를 확인할 수 있다. 대부분의 파일을 시그니처를 갖고 맨 앞에 갖고 있으므로 이 파일에 대한 시그니처를 확인해본 결과 이는 .gz 인것을 확인할 수가 있다. 즉 압축파일이다. 따라서 우리는 이를 압축해제 해야한다는 것을 알 수가 있다. 

    * 파일의 시그니처 확인은 http://kali-km.tistory.com/entry/File-Signature 에 포스팅 했으므로 해당 시그니처를 찾아보면 된다.


    압축을 해제한 결과 해당 파일을 다시 HxD로 열어서 확인을 해보면 img0.dd 라고 써있다. 처음에는 이것도 어떤 파일의 시그니처인가 확인을 위해 검색을 했지만 나오지가 않았으며 img라는 단어를 계속 검색해보니 해당 파일에 img0, img1, img2가 존재하는 것을 확인할 수가 있었다. 따라서 이 또한 압축파일의 가능성이 존재하다 생각할 수 있으며 다시 한번 압축해제를 진행한다.


    압축을 해제한 결과 아래와 같이 3개의 .dd 파일이 생성되는 것을 볼 수가 있다. .dd는 이미징된 파일 시스템이라는 것을 알게되었다. 따라서 이 3개의 .dd에서 어떠한 단서를 찾아야한다.


    해당 바이너리를 확인해보면 아래와 같다. 이제 특정한 문자열이나 데이터를 찾기위해 binText를 통해 확인해보았지만 아무런 단서를 찾지 못했고 오히려 파일들의 시그니처를 검색해보았다. PE, gz 등등 찾아보다가 찾은 것이 바로 %PNG였다. 바로 이미지 파일이 존재하는 것을 확인할 수가 있었고, 3개의 .dd 파일에서 모두 png 파일의 존재 여부를 확인할 수가 있었다.


    복구


    png 파일이 존재하는 것을 확인했으니 해당 파일을 복구해보자. 여기선 카빙을 사용할 것이며 이에 대한 내용은 http://kali-km.tistory.com/entry/filerecovery 을 참고하면 될  것 같다. foremost를 통해 해당 이미지들에 있는 png를 복구해보자.

    3개의 이미지들을 모두 각각의 폴더에 복구시켰다. 해당 폴더들을 확인해보면 0185.png와 0265.png 파일이 존재하는데 각 이미지 모두 같은 그림이 존재하는 것을 확인할 수가 있다.


    결과


    각 3개의 폴더에는 총 2장의 사진이 있으며 결국 총 6개의 사진은 모두 같은 이미지를 나타내는 것을 확인할 수가 있다. 해당 파일에는 텍스트를 캡처한 사진이 있으며 결국 이 텍스트의 내용이 바로 Flag 인 것이다.



    I_was_N3ver_less_Alone_tHan_when_by_mYselF

    'Forensic > WarGame' 카테고리의 다른 글

    Real Digital Forensic Level 1  (0) 2015.09.18

    Covert TimeStamp

    Kail-KM
    |2015. 9. 18. 00:42

    TimeStamp


    포렌식이나 리버싱을 하다보면 HxD 같은 툴을 이용해서 바이너리를 직접 확인해야 하는 경우가 많다. 그러면서 각 파일들의 구조도 보게되며 많은 구조들을 접할 수 있게된다. 그 중에서 항상 어딜가나 빠지지 않는 것이 바로 타임스탬프이다. 이러한 타임스탬프의 경우 그리 중요하지 않게 여기기도 하지만 포렌식에 있어서 시간은 사건에 직접적으로 관련이 있으므로 중요하다.

    이러한 타임스탬프의 경우 다양한 툴 PEViewr나 PrefetchView 등 많은 프로그램이 자체적으로 확인을 해서 나타내준다. 하지만 이번에 포스팅을 하는 가장 큰 이유는 프리패치와 카빙을 공부하면서 직접 바이너리로 봐야할 경우가 있을 것 같기에 포스팅을 해본다.


    4WebHelp


    시간을 변환해주는 다양한 툴들이 존재하겠지만, 필자는 간단하게 어디서든 접근할 수 있는 온라인사이트를 통하여 진행하였다. http://www.4webhelp.net/ 에 접속을 하면 아래와 같이 Unix Timestamp Converter라고 되어있는 부분을 클릭하면 된다. 


    HxD를 통해 확인한 파일의 타임스탬프는 0x4CF52765 라고 되어 있으며 이를 10진수로 변환해주면 아래와 같은 값이 된다.


    이 값을 아래에 넣어주고 Convert to a date 버튼을 눌러주면 해당 날짜가 출력이 되는 것을 확인할 수가 있다. 참고로 위에선 Unix라고 되어있긴하지만 필자의 pc는 윈도우에서 진행했음에도 불구하고 올바른 시간 값을 출력하는 것을 확인했다. 따라서 굳이 귀찮게 다른 사이트와 비교하는 등 하지 않고 그냥 기본 설정 그대로 클릭 몇번만 해서 시간을 변환하면 된다.


    'Forensic > Theory' 카테고리의 다른 글

    File System Tunneling  (0) 2015.09.23
    Web Forensic  (0) 2015.09.19
    ADS (Alternate Data Stream)  (0) 2015.09.17
    Steganography  (0) 2015.09.16
    Icon Forensic ( ICON 분석)  (2) 2015.09.13