46일차
●46일차(20250218046.php)
#메인서버 작업
ssh 192.168.0.100
> master 123456
adduser ansso
su ansso
cd ~
chmod 711 $HOME
chmod 755 ~/public_html
공유폴더 연결
> 내PC 클릭 > 컴퓨터 > 네트워크 드라이브 연결 > \\192.168.0.94\backup > master 123456
#포렌식
1. 13th.E01
파티션 1이 망가져있음
> FAT32 시그니처로 검색 > 나옴 > 128 > 80 00 00 00
> 128 + 6 = 134 > 백업본 > 86 00 00 00
2. BPARKER .E01
> partition2 mbr이 망가져있음
시작위치 : 3693375
> 00 38 5B 3F > 3F 5B 38 00
마지막 섹터 : 15633407
사이즈 : 마지막 섹터 - 시작위치 +1 = 11940033
> 00 B6 30 C1 > C1 30 B6 00
active 디스크 에디터로 수정 후 imger로 확인
> 복구 완료
3. df2.E01
> partition2 MBR이 망가져있음
파티션2 시작위치
7168128 > 00 6D 60 80 > 80 60 6D 00
마지막 섹터 : 7975295
사이즈 = 마지막 섹터 위치 - 시작 위치 +1 = 403456
> 00 06 28 00 > 00 28 06 00
> 복구 완료
4. ence.E01
> partiton1, 2 모두 MBR이 0으로 되어있음
> 액티브 디스크 이미지에 들어가니 파티션이 나누어져있지 않음
partition1 > ntfs
partition2 > fat32
4-1. NTFS
> 시작 위치: 63
> 사이즈 : 시작위치 + 사이즈 -1 = 백업 위치
> 사이즈 = 백업위치 - 시작위치 +1
백업위치: 4306175 > 사이즈 = 4306113
> 63 > 3F 00 00 00
> 4306113 > C1 B4 41 00
4-2. fat32
> 시작 위치: 4306239 > 3F B5 41 00
> 백업 위치 : 4306239 + 6 = 4306245 > 45 B5 41 00
>> active disk editor에서 파티션이 나눠졌다
+) 파티션 시작 위치를 알고싶으면 파티션2 클릭하면 됨
+) 파티션1 시작위치 + 사이즈 더하면 파티션2 시작 위치가 나옴
+) 액티브 디스크 에디터에서 저장이 안되면 다시 raw(dd)로 추출해보거나 이미저에서 파일 제대로 삭제했나 확인
#서과장 유출사건 파일 분석
1. TrueCrypt
osforensic으로 들어감
> tc는 TrueCrypt Volume파일
> 암호화된 usb라 생각하면 된다
TrueCrypt 설치
> 아무 드라이브나 클릭 후 mount
> password를 입력하고 key를 사용하는 체크란이 나옴
서과장의 복구된 파티션에 왜 tc파일이 존재하는가?
tc 파일의 용도는 무엇인가?
truescrypt 파일을 다운로드되었는가?
설치한건가?
언제 만들어졌는가?
누가 만들었는가?
> 레지스트리 index.DAT NTUSER.DAT을 확인해보자
2. Dc1.txt
osforesic > 케이스 관리 > 서과장 추가해준 디바이스 열기 > 파일 시스템 브라우저
> 휴지통 파일에 텍스트 파일이 들어있음
> 1003이 서과장
> Dc1.txt 체크 > 1 items checked > 디스크에 저장
> Key is hiding이라 적혀있을 뿐이다
파일에도 시그니처가 있다
> 확장자가 바뀐다고 해서 시그니처가 바뀌지 않는다
> outopsy 이용 > 확장자와 시그니처가 불일치하는지 확인
3. Autopsy
newcase > D:\\20250218에 만듦
디스크 및 이미지 파일 > 서과장 파일 가져오기 > configure ingest 체크 다 빼주기 > finish
20250213003.001에서 오른쪽 마우스 클릭 > run ingest modules > extension mismatch detector
> Analysis results에 탐지 결과가 나온다
> 특별히 눈에 띄는게 없음 > 조작 또는 사람이 만들었다는 흔적을 찾기 힘들다
> 기본 파일 밖에 없다는 뜻
4. 정리
복구한 하드디스크 : .tc > 키와 암호가 필요함
휴지통 > Dc1.txt
바탕화면 0001.png > 굳이 바탕화면에 사진을 넣어두진 않음
불일치 검색 > 기본적으로 만들어진 파일밖에 없다
>> 조작한걸 찾아야함
5. 사람의 흔적
osforensic > 유저 액티비티
5-1. 휴지통
> 빠른 스캔(partition0으로)
> 리스트 내보내기로 key1,2 두개 다 빼줌
5-2. prefatch
> 빠른 스캔
> 체크되어있는 것들은 사람의 흔적이다
#메인서버 작업
ssh 192.168.0.100
> master 123456
adduser ansso
su ansso
cd ~
chmod 711 $HOME
chmod 755 ~/public_html
공유폴더 연결
> 내PC 클릭 > 컴퓨터 > 네트워크 드라이브 연결 > \\192.168.0.94\backup > master 123456
#포렌식
1. 13th.E01
파티션 1이 망가져있음
> FAT32 시그니처로 검색 > 나옴 > 128 > 80 00 00 00
> 128 + 6 = 134 > 백업본 > 86 00 00 00
2. BPARKER .E01
> partition2 mbr이 망가져있음
시작위치 : 3693375
> 00 38 5B 3F > 3F 5B 38 00
마지막 섹터 : 15633407
사이즈 : 마지막 섹터 - 시작위치 +1 = 11940033
> 00 B6 30 C1 > C1 30 B6 00
active 디스크 에디터로 수정 후 imger로 확인
> 복구 완료
3. df2.E01
> partition2 MBR이 망가져있음
파티션2 시작위치
7168128 > 00 6D 60 80 > 80 60 6D 00
마지막 섹터 : 7975295
사이즈 = 마지막 섹터 위치 - 시작 위치 +1 = 403456
> 00 06 28 00 > 00 28 06 00
> 복구 완료
4. ence.E01
> partiton1, 2 모두 MBR이 0으로 되어있음
> 액티브 디스크 이미지에 들어가니 파티션이 나누어져있지 않음
partition1 > ntfs
partition2 > fat32
4-1. NTFS
> 시작 위치: 63
> 사이즈 : 시작위치 + 사이즈 -1 = 백업 위치
> 사이즈 = 백업위치 - 시작위치 +1
백업위치: 4306175 > 사이즈 = 4306113
> 63 > 3F 00 00 00
> 4306113 > C1 B4 41 00
4-2. fat32
> 시작 위치: 4306239 > 3F B5 41 00
> 백업 위치 : 4306239 + 6 = 4306245 > 45 B5 41 00
>> active disk editor에서 파티션이 나눠졌다
+) 파티션 시작 위치를 알고싶으면 파티션2 클릭하면 됨
+) 파티션1 시작위치 + 사이즈 더하면 파티션2 시작 위치가 나옴
+) 액티브 디스크 에디터에서 저장이 안되면 다시 raw(dd)로 추출해보거나 이미저에서 파일 제대로 삭제했나 확인
#서과장 유출사건 파일 분석
1. TrueCrypt
osforensic으로 들어감
> tc는 TrueCrypt Volume파일
> 암호화된 usb라 생각하면 된다
TrueCrypt 설치
> 아무 드라이브나 클릭 후 mount
> password를 입력하고 key를 사용하는 체크란이 나옴
서과장의 복구된 파티션에 왜 tc파일이 존재하는가?
tc 파일의 용도는 무엇인가?
truescrypt 파일을 다운로드되었는가?
설치한건가?
언제 만들어졌는가?
누가 만들었는가?
> 레지스트리 index.DAT NTUSER.DAT을 확인해보자
2. Dc1.txt
osforesic > 케이스 관리 > 서과장 추가해준 디바이스 열기 > 파일 시스템 브라우저
> 휴지통 파일에 텍스트 파일이 들어있음
> 1003이 서과장
> Dc1.txt 체크 > 1 items checked > 디스크에 저장
> Key is hiding이라 적혀있을 뿐이다
파일에도 시그니처가 있다
> 확장자가 바뀐다고 해서 시그니처가 바뀌지 않는다
> outopsy 이용 > 확장자와 시그니처가 불일치하는지 확인
3. Autopsy
newcase > D:\\20250218에 만듦
디스크 및 이미지 파일 > 서과장 파일 가져오기 > configure ingest 체크 다 빼주기 > finish
20250213003.001에서 오른쪽 마우스 클릭 > run ingest modules > extension mismatch detector
> Analysis results에 탐지 결과가 나온다
> 특별히 눈에 띄는게 없음 > 조작 또는 사람이 만들었다는 흔적을 찾기 힘들다
> 기본 파일 밖에 없다는 뜻
4. 정리
복구한 하드디스크 : .tc > 키와 암호가 필요함
휴지통 > Dc1.txt
바탕화면 0001.png > 굳이 바탕화면에 사진을 넣어두진 않음
불일치 검색 > 기본적으로 만들어진 파일밖에 없다
>> 조작한걸 찾아야함
5. 사람의 흔적
osforensic > 유저 액티비티
5-1. 휴지통
> 빠른 스캔(partition0으로)
> 리스트 내보내기로 key1,2 두개 다 빼줌
5-2. prefatch
> 빠른 스캔
> 체크되어있는 것들은 사람의 흔적이다