디지털 포렌식 기초 - 3(파일 복구, 침해 분석 문제 다운로드 및 준비)

- 파일 복구

파일 복구의 경우 FTK imager로 복구 시킬 수 있는데, 마운트 시킨 후에 파일을 살펴보면 파일그림에 x표시가 나와있는 것으로 삭제된 파일을 확인할 수 있습니다.

이후 파일을 오른쪽 버튼을 눌러 Export file을 누른후 destination을 지정해주면 파일을 복구 시킬 수 있습니다.

 

또 다른 방법으로는 Autopsy를 이용하는 방법이다. new case 누른후 case name과 base dirctory를 설정해준 다음 pass 해주고, data source type은 disk image로 해준다. 그다음 data source path는 분석하려는 이미지 파일을 올려주면되는데, 이번의 경우에는 이전에 만들어 두었던. E01 파일을 넣으면 됩니다. 이후 다 넘겨주면 아래와 같은 화면이 나옵니다.

밑에 deleted files를 들어가보면 삭제되었던 파일들을 볼 수 있습니다.

autopsy의 장점은 파일을 파일의 형태에 따라 분류해준다는 장점이 있습니다. 아래는 exe 형태의 파일만 모아놓은 autopsy를 확인 할 수 있습니다.

 

- 문제 다운로드

https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

위 링크에 접속하여 malware-cridex를 다운로드하시면 됩니다.

 

http://ctf-d.com/challenges

[DigitalForensic] with CTF

위 링크에 접속하셔서 register로 회원가입 후에 memory 부분에 있는 Grrcon 2015를 다운로드 해주시면 됩니다.

 

- 준비

Volatility : 메모리 데이터를 분석해주는 툴, 아래 링크에 접속해주시고 os에 맞는 프로그램 다운로드해주시면 됩니다.

https://www.volatilityfoundation.org/releases

Release Downloads | Volatility Foundation

 

- 환경 변수 편집

환경 변수 : 어떤 위치에서든지 파일에 접근할 수 있도록 도와주는 기능, 밑에 링크를 참고해주셔서 위에서 다운받았던 Volatility의 경로를 환경변수로 등록 해주시면 됩니다.

https://rootblog.tistory.com/225

윈도우10 대표 환경 변수 정리와 시스템 변수 추가 방법