이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
작성자 : 투라(extraman@boanin.com
편집자 : 

주말에 포스팅 한다는게, 금요일 회식을 과도하게해서..
주말에 재정신 차리고,집 정리하다보니..어제 저녁 관련글 올리다가 졸려서...
회사에서 와서 올리네요..


오늘은 encase를 이용해서 주어진 이미지에서 recover folder 및 삭제 파일 확인 및 헤더값 변경 & 확장자 변경 된 파일을 찾는 법까지 확인 해본다.

1.데모버전으로는 case 생성이 안되므로 데모와 같이 제공된 이미지를 이용하여 분석하기로한다.
제공된 이미지를 불러 들인 현황 (hunter xp)

참고> 주어진 이미지 추가하는 방법
아래 그림에서는 비활성화 되어 있지만..
ADD Device -> Evidence File -> New -> 파일 선택 후 다음 클릭후 마침 선택하면
자동적으로 Verify가 진행되며 Verify 된 값을 확인하여 원본 이미지와 Verify 된 이지미 HASH 값 확인하여 분석 보고서에 기입해야합니다.(사본에 대한 무결성 확인)



2. Recover folders 를 실행함.




3. is Deleted tap  및 Description 위치를 조정한다..(아무래도 한 화면에 보기 용이하게 하려면...)
전체 이미지에서 삭제된 파일을 파악하기 위해 is Deleted tap을 클릭하여 Sorting 한다..
삭제된 파일을 한눈에 파악 가능한다.(보고서에 몇개의 파일 및 폴더가 삭제 되었는지 기록 한다.)
overwritten 되지 않았으면 복구 가능하다.


추가적으로 헤더값 변경이나, 확장자 변경을 찾기 위해서 Search 클릭 -> Verify file Signature 체크하여 Start 시킴


화면 우측 상단에 진행상황에 대한 내용이 표기 되며 완료 되면 아래와 같음




Signatur 을 보면 !band Sinaguture , *compond documnet 등의 형태가 보일것이다. 내용은 다음과 같다. (마찬가지로 변경된 파일 개수 상세히 기록해서 보고서에 기입한다.)

!bad Signature : 파일 헤더값 변경
*compond documnet : 파일 확장자 변경


다음 포스팅은 이번 포스팅에서 찾은 삭제 파일복원 및 헤더값 변경 및 확장자 변경된것을 복원 시키는 과정을 살펴 본다..

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요