self study

Startup 디스크 포렌식 마지막 목록엔 Challenge가 하나 있어서 풀어볼까 한다.

1. MD5 Hash 값

 - 프로그램을 통해 파일을 계산 후 결과 값

2. 볼륨의 이름은 무엇인가?

 - 2가지 방법

  1) FTK Imager

  2) MFT Entry의 $Volume

3,4. 해당 볼륨에서 활성화 된 폴더와 파일

 3) Incoming 폴더 및 폴더 내 파일

5-12. 파일들의 생성 시간

 - 2가지 방법

  1) FTK Imager에서 Export 하여 파일 시간 확인

Incoming 폴더 파일 생성 시간

001q.jpg 와 DOI-40%.jpg 파일 생성 시간

  2) 직접 HxD에서 파일 위치 확인 후 File Name Attributes의 파일 시간 확인

    - VBR에서 MFT Entry 시작 위치로 이동

     * 9F4A = 40778

     * 326224 = 40778(MFT 위치) * 8 (클러스터 크기로 맞추기 위해(4096=512*8)

       * 326294(Root Directory) = 326224 + 70(기본 MFT Entry)

     - 위 계산으로 Incoming 폴더 위치를 확인 할 수 있고 FileName Attributes에서 파일 생성시간 위치 값을 프로그램을 이용하여 계산

     - 아래는 001q.jpg 파일의 파일 생성 시간을 확인

     - 파일 위치를 찾는데 파일이름의 hex value로 검색하여 MFT Entry 위치 찾음

13-16. 메타데이터 작성자 속성 확인

  - FTK Imager로 파일들을 Export하고 난 후 파일 속성 -> 자세히로 해당 파일의 메타데이터 값을 확인 할 수 있음

17. 001q.jpg 파일과 DOI.jpg은 같은 파일이라 볼 수 있나?

    - 아래는 두 파일을 비교했고 컨텐츠 내용은 거의 동일하다고 볼 수 있으나 아래 MD5 값 비교를 통해 같은 파일이 아님을 확인할 수 있음