Startup 디스크 포렌식 마지막 목록엔 Challenge가 하나 있어서 풀어볼까 한다.
1. MD5 Hash 값
- 프로그램을 통해 파일을 계산 후 결과 값
2. 볼륨의 이름은 무엇인가?
- 2가지 방법
1) FTK Imager
2) MFT Entry의 $Volume
3,4. 해당 볼륨에서 활성화 된 폴더와 파일
3) Incoming 폴더 및 폴더 내 파일
5-12. 파일들의 생성 시간
- 2가지 방법
1) FTK Imager에서 Export 하여 파일 시간 확인
Incoming 폴더 파일 생성 시간
001q.jpg 와 DOI-40%.jpg 파일 생성 시간
2) 직접 HxD에서 파일 위치 확인 후 File Name Attributes의 파일 시간 확인
- VBR에서 MFT Entry 시작 위치로 이동
* 9F4A = 40778
* 326224 = 40778(MFT 위치) * 8 (클러스터 크기로 맞추기 위해(4096=512*8)
* 326294(Root Directory) = 326224 + 70(기본 MFT Entry)
- 위 계산으로 Incoming 폴더 위치를 확인 할 수 있고 FileName Attributes에서 파일 생성시간 위치 값을 프로그램을 이용하여 계산
- 아래는 001q.jpg 파일의 파일 생성 시간을 확인
- 파일 위치를 찾는데 파일이름의 hex value로 검색하여 MFT Entry 위치 찾음
13-16. 메타데이터 작성자 속성 확인
- FTK Imager로 파일들을 Export하고 난 후 파일 속성 -> 자세히로 해당 파일의 메타데이터 값을 확인 할 수 있음
17. 001q.jpg 파일과 DOI.jpg은 같은 파일이라 볼 수 있나?
- 아래는 두 파일을 비교했고 컨텐츠 내용은 거의 동일하다고 볼 수 있으나 아래 MD5 값 비교를 통해 같은 파일이 아님을 확인할 수 있음
'Computer > #Go2 포렌식' 카테고리의 다른 글
Disk Forensic 이론 #3 - NTFS 구조 (0) | 2018.09.26 |
---|---|
Disk Forensic 이론 #2 - FAT32 Time 개념 이해 (0) | 2018.09.26 |
Disk Forensic 이론 #1 - FAT (0) | 2018.09.26 |
Filesystem Recovery (NTFS) - MBR Recovery (0) | 2018.08.18 |
Filesystem Recovery (NTFS) - PeTya (0) | 2018.08.12 |