Digital Forensics/EnCase2010. 11. 29. 01:57
반응형

 

10.    Shortcut Analysis

 

10-1.    Link Files 분석 개요

-      바탕화면, 최근문서, 시작메뉴, Send to 폴더 등에는 shortcut 형태의 증거들이 있다. Shortcut 파일들은 타겟 파일(어플리케이션, 디렉토리, 데이터 파일, 프린터 등)에 대한 정보를 가지고 있다. 이를 분석하여 필요한 정보를 추출해낼 수 있다.

 

10-2.    Link File 생성 시기

-      사용자가 의도적으로 생성시

-      프로그램 설치시

-      (explorer)이나 OS가 파일 실행시

 

10-3.    Link File 골라내기 (Condition 기능 이용)

Conditions - Extention - Match – lnk

Conditions - FileType - equal to - LINK 로 등록하여 확인

 

 

 

 

10-4.    Link File 활용 (Link File MAC Time 정보)

Link파일 안에는 Link file 생성 당시의 타겟 파일의 MAC Time 정보(CAM 정보)가 기록되어 있다.

a.     Windows : Created, accessed, modify

b.    Linux : Modify, accessed, changed

 

 

 

Windows에서 개개의 날짜/시간 정보는 8bytes, Link File에서 MAC Time 정보는 Offset 28번에서부터 24bytes에 표현된다.

File Created Time (타겟 파일 생성 시각)Last Written (마지막 수정 시각)이 몇 초 차이나는 경우에는 해당 파일의 '다운로드' 가능성을 의심해볼 수 있으며, 이 두 시각이 동일할 경우 '복사' 가능성이 있다.

 

  

 

USB PC에 꽂아 어떤 파일을 설치 또는 사용하였는지 여부를 확인하여 인지사실에 대한 증거로 사용하려는 경우, Link File의 시간정보를 가지는 Volume Serial Number (타겟 파일의 위치를 나타내는 값 앞 10을 찾고 그 전 4바이트) USB 파일시스템 내부의 Volume Serial Number를 비교하여 찾을 수 있다. 해당 Target 파일이 들어있는 파일시스템의 Volume Serial NumberLink File에 부여되기 때문이다.

 

                        // Hex ‘10’을 찾은 후, 그 앞 4 bytesVolume Serial Number (Unicode)

 

 

// Encase Report 탭으로 확인한 Link File Volume Serial Number

 

이를 USB 파일시스템 내부의 Volume Serial Number와 동일한지 비교하여 추출한다.

 

 

 

 

 

11.    참고문헌

-      File System Forensic Analysis, Carrier  ,|Addison-Wesley, 2005.01.01

-      Encase Computer Forensics--the Official Ence (Paperback / 2nd Ed.)   (Encase Certified Examiner Study Guide), BuntingSteve  John Wiley & Sons Inc, 2007.09.12

-      Encase Forensic Academic Program Students Guide, Guidance

 

 

 

12.    도움주신 분들

-      이지스원 시큐리티 보안팀장 김 태 일

-      이지스원 시큐리티 연구원   이명수, 주한익

-      경찰수사연수원 사이버 교수 유   

-      국립 경찰 대학 사이버 교수 장 윤 식

-      육군 사관 학교 사이버 교관 유 정 호

 

 

 

반응형
Posted by CCIBOMB