K-Forensics

Disk FORENSIC

HOME  >  디스크 포렌식

Forensic Disk Imaging

디스크 이미지 복제

하드디스크의 모든 물리적데이터를 이미징 (파일) 형태로 만드는 작업을 통칭합니다. 


디스크의 첫번째 섹터부터 마지막 섹터까지 저장하며 파일과 디렉토리 구조뿐만아니라 삭제된 슬랙공간 및 비할당 영역까지 저장을 해야먄 합니다. 

또한 이과정에서 쓰기방지 장치 ( Write Protection) 를 사용하여야 하며 그렇게 해야만 저장매체의 원본 상태를 그대로 유지시킬 수 있고 

증거물(포렌식 의뢰물)의 수집, 이동, 보관, 분석의 변조를 방지 할 수 있습니다. 

데이터닥터 포렌식센터는 디스크 이미징 작업 시 디스크 쓰기 방지 장치 사용을 원칙으로 하고 있습니다.

Write Protection Device

디스크 쓰기 방지 장치

쓰기 방지 장치는 디스크 이미징 작업 시 감정 물 또는 포렌식 분석 대상의 원본 데이터가 수정 및 삭제되지 않도록 

쓰기 기능을 원천적으로 방지하는 기술이 적용된 장치이며 하드웨어 쓰기 방지 장치와 소프트웨어 쓰기 방지 장치가 있습니다.

◼︎ 하드웨어 쓰기 방지 장치


회사명
제품명
Intelligent Computer Solutions
Solo4 Forensic,  Solo 101,  Solo 102,  ImageMASSter 400Pro,  RapidImage 7012/7020
Guidance Software, Inc
T35is,  T35689iu,  TD2,  Tabeau TD3
Logicube
dossier,  MPFS(Massive Portable Forensic Storage),  NETConnect, Talone Enhanced
MyKey Technology Inc
NoWrite IDE,  NoWrite FPU,  NoWrite FlashBlock 2
WiebeTech
Forensic comboDock v5

◼︎소프트웨어 쓰기 방지 장치


회사명
제품명
forensicsoft
System Acquisition Forensic Environment(SAFE) block XP
MacForensicsLab
MacForensicLab Write Controller

Disk Forensic Analysis

디스크 포렌식 분석 가능 항목
1.  로컬 컴퓨터의 시간대 (Time Zone) 정보 분석


다양한 운영체제가 서로 다른 시간대를 구현하고 있기 때문에 이를 고려하는 것은포렌식 분석 과정에서 기본적으로 체크하여야 할 사항으로 

HKLM\ SYSTEM\ControlSet00x\ Control\TimeZoneInformation에서 파악이 가능합니다.


기술적인 표기로 1972년 1월 1일부터 시행된 국제 표준시로 UTC ( Universal Time Coordinated)를 사용하며  "협정 세계시", "협정 세계 표준시"로 명명 하며  대한민국 표준시는 UTC+09:00 서울 시간으로 적용 분석 하여야 합니다.



2.  로컬 컴퓨터의 시스템의 기본정보 (System Information) 분석


운영 체제의 이름, 사용자 이름, 조직이름, 운영 체제 식별자, 운영 체제 버전, 운영 체제 설치 날짜 및 설치 경로에 대한 정보  파악이 가능합니다.


  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion  에서  시스템에  컴퓨터 기본 정보를 확인할 수 있습니다.
  •  HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName 에서  시스템에 등록 된 컴퓨터 이름 정보를 확인할 수 있습니다.
  •  HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime 에서  시스템 마지막 종료시점에 대한 정보값을 확인할 수 있습니다.



3.  로컬 컴퓨터의 사용자 계정 (User Account) 정보  분석


로컬 컴퓨터의 사용자  목록,  사용자의 프로필, 마지막으로 로그인한 정보에 대한 분석이 가능합니다.


  • SAM\SAM\Domain\Account\Users\{RID}  또는 SAM\SAM\Domain\Account\Users\Names\{Accounts}에서 사용자 목록 정보 추출이 가능합니다.
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID} 에서 사용자 프로필 목록 정보 파악이 가능합니다.
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 에서 마지막으로 로그인한 사용자 정보 추출이 가능합니다.



4.  로컬 컴퓨터에 설치된 응용 프로그램 목록 정보 분석


설치한 응용 프로그램의 목록 및 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 확인등의 정보 분석이 가능합니다.


  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall에서 설치된 응용 프로그램 목록 정보 분석이 가능합니다.
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 에서 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 분석이 가능합니다.



5.  로컬 컴퓨터에 설치된 외부 USB 장치의 정보 , 할당된 볼륨 정보 및 할당된 드라이브 등의 정보 및 사용 흔적 분석 


외부 USB 저장장치의 밴더 정보, 제품 명 , 일련번호 등의 정보 파악이 가능하며 레지스트리와 로그 파일 분석을 통해 USB의 사용 흔적 분석이 가능합니다.


  • HKLM\SYSTEM\ControlSet\Enum\USBSTOR 에서 Vendor 정보, 제품명, Revision number 의  정보 분석이 가능합니다.
  • HKLM\SYSTEM\ControlSet\Enum\USB에서 제조사 ID 및 제품 ID 정보 확인의  정보 분석이 가능합니다.
  • HKLM\SOFTWARE\Microsoft\Windows Portable Device\Device 에서 제품명 또는 시리얼번호를 포함하는 키의  정보 분석이 가능합니다.
  •  HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 에서 마지막 연결 시각 의  정보 분석이 가능합니다.



6.  사용자가 최근에 열거나 실행한 파일 및 폴더 정보 확인(MRU)을 통해  특정 시점의 사용자 행위 파악 분석이 가능 합니다. 


MRU ( Most Recently Used ) 사용자가 가장 최근에 열거나 실행한 파일의 정보 값으로 사용자별로 관리되기 때문에 HKLM 하위가 아닌 HKU(HKEY_USER) 하위에 위치하며 사용자의 가장 최근의 행위 파악 분석이 가능합니다.


  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 에서 최근 실행한 문서, 그림, 동영상 등의 파일 의  정보 분석이 가능합니다.
  • HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVistitedPidMRU에서 탐색기를 통해 열어본 폴더 목록의  정보 분석이 가능합니다.
  • HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU에서 탐색기를 통해 열어보거나 저장한 파일 목록의 정보 분석이 가능합니다.



7.  사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 Shellbags 레지스트리에 기록하며 해당 정보 분석이 가능합니다. 


Shellbags 레지스트리는 Bags과 BagMRU 두 가지 주요 레지스트리 키로 구성되며 Bags는 창 크기, 위치 및 보기 모드와 같은 보기 기본 설정, BagMRU 키는 유사한 트리 구조를 생성하여 폴더 이름과 레코드 폴더 경로를 저장하고 있고 해당 정보의  분석을 통해 사용자가 특정 폴더에 접근한 시간 정보 및 특정 폴더의 삭제/덮어쓰기에 대한 행위 분석이 가능합니다.  


  • NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장 하며 해당 정보의 분석이 가능합니다.
  • UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장하며 해당 정보의 분석이 가능합니다.



8.  사용자가 특정 파일 및 문서를 열거나,  바로가기 또는 첨부 등을 하였을 경우 LNK(바로가기)정보 분석이 가능합니다. 


LNK 파일분석은 특정 응용프로그램을 설치했을 때 바탕화면에 자동으로 생성되거나, 사용자가 편의를 위해 바로가기를 생성했을 때, 최근 문서 폴더, 시작프로그램, 빠른실행 등 다양한 곳에서 수동 혹은 자동으로 생성되어 저장되는 파일로 사용자의 행위 파악 분석이 가능합니다.

LNK 파일 포맷은 ShellLinkHeader , LinkTargetIDList , LinkInfo , StringData, ExtraData로 5가지 부분으로 구성되어 있습니다.


  • ShellLinkHeader는 식별정보, 타임스탬프, 선택 가능한 영역의 유무 표시 플래그 정보를 분석할 수 있습니다.
  • LinkTargetIDList는 원본 정보를 포함하고 있습니다.
  • LinkInfo는 원본의 위치를 찾을때 필요한 정보를 분석할 수 있습니다.
  • StringData는 사용자 인터페이스나 경로 식별 정보를  분석할 수 있습니다.
  • ExtraData 는 링크 대상의 화면 표시 정보, 문자열 코드페이지, 환경 변수와 같은 추가적인 정보를  분석할 수 있습니다.



9.  기타 분석 가능 정보


  • Windows 이벤트 로그 분석   : Windows 로그, 방화벽 이벤트, 네트워킹 이벤트, 사용자 이벤트, 사용자 PNP이벤트 등의 분석 작업이 가능합니다.
  • 클라우드 (Cloud ) 분석 : One드라이브, 구글 드라이브 등의 클라우드 분석 작업이 가능합니다.
  • 웹 분석 : 구글 크롬 및 Edge의  웹기록, 웹방문 기록, 캐시 레코드, 쿠키, 북마크, 파비콘, 다운로드 및 검색기능의 상세 분석이 가능합니다.
  • 삭제된 문서 및 멀티미디어 복원 및 분석 기능 : 삭제한 문서(확장자별) , 사진, 동영상, 음성등의 삭제된 파일 정보의 상세 분석이 가능합니다.