Daily Archives: 2014-01-20

You are browsing the site archives by date.

Widnows 7 휴지통(Recycle.Bin) 분석을 통한 하드디스크(HardDisk) 탈착 흔적 분석

분석에 앞서, 휴지통(Recycle.Bin)은 언제 생성되는가? (Windows XP 의경우 Recycler 폴더가 생성됨)
–> 파일을 선택후 “Delete” Key 를 누르는 순간 휴지통 폴더가 생성된다. 테스트 방법은 간단하다. 휴지통 폴더를 삭제 후에 파일에서 “Delete” Key 를 누르면 휴지통이 생성되는것을 바로 확인 할 수 있다.
–> Shift + delete Key 를 누를 경우에는 생성되지 않는다.
–> 현재 로그인한 계정으로 휴지통이 생성된다. 즉, 계정별로 구분되어서 휴지통이 생성된다.(휴지통마다 고유한 값을 가지고 있다. SID)
* Widnows 7 의 경우 Public 계정이 생성되어 있는것을 참고로 한다.

하드디스크 탈착 분석시 확인 사항
레지스트리 값 확인
–> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21 ~~~~~~~ 으로 생성됨
즉, 이 위치에 생성되어 있는 값과 휴지통에 생성된 SID 값을 비교해서 불일치 하는 휴지통은 의심의 대상이 된다.

휴지통에 있는 파일이 아직 삭제되지 않았다면..
–> $I 로 시작하는 파일들을 확인해서, 해당 경로를 확인한다. 대부분은 파일들은 User\계정명\ 으로 시작하는 폴더에서 파일이 생성되기 때문에, 혹시 계정명이 “우리집”,”홍길동” 등 회사에서 사용하고 있는 계정과 다르다고 하면 의심해 볼 필요가 있다. 즉, 이 하드디스크는 집에 한번 연결되었다가 회사로 반입될 가능성이 있다.
–> 이런 계정정보가 없다면, 인터뷰를 통해서 역추적 해야한다. “PC 지급 날짜 또는 인사이동 등등”의 질문 들을 통해서 탈부착 여부를 확인해야한다.

Windows 7, 파일(File)의 타임(MAC) 변화

Step 1. 문서파일을 단순하게 열람했을 경우 “Last Accessed” 일시가 변경 되는가?
—-> 변경되지 않는다. 즉, 단순 열람했을경우 변하는 값은 없다.
* 윈도우 7 파일 탐색기를 보면, 시간 관련한 필드는 “마지막으로 저장한 날짜”, “수정한 날짜”, “만든 날짜”, “엑세스한 날짜”, “열어본날짜”,”마지막으로 인쇄한 날짜”, “릴리스 날짜”, “끝 날짜”, “날짜” 등이 있으니 참고하기 바란다.

Step 2. 문서파일을 수정했을 경우 변하는 값은?
—-> 일반적으로, “Last Written”, “Entry Modified” 변경 됨
—-> 문서보안(DRM) 솔루션으로 자동 암호화 되는 경우, “Last Written”, “Last Accessed”, “Entry Modified” 값이 변한다. Entry Modified 값은 0~3초 있다가 변경되는것으로 확인 됨

Step 3. 문서파일을 다른 파티션으로 복사 했을 경우 변하는 값은?
—-> “Last Accessed”, “Entry Modified” 값이 변한다.

Step 4. 문서파일을 다른 파티션이 아닌 다른 디스크로 복사했을 경우 변하는 값은?
—-> “Last Accessed”, “File Created”, “Entry Modified” 값이 변한다.

Step 5. 같은 파티션에서 복사하기를 했을 경우
—-> “Last Accessed”, “File Created”, “Entry Modified” 값이 변한다.

Step 6. Ctrl + X 로 파일을 다른 파티션으로 붙여넣기 했을 경우
—-> “Last Accessed”, “Entry Modified” 값이 변한다

Step 7. Ctrl + X 로 파일을 다른 디스크로 붙여넣기 했을 경우
—-> “Last Accessed”, “Entry Modified” 값이 변한다.