'헤더변경찾기'에 해당되는 글 1건

  1. 2009.05.25 포렌식 - encase2

포렌식 - encase2

업무/보안 2009. 5. 25. 11:10
 오늘은 encase를 이용해서 주어진 이미지에서 recover folder 및 삭제 파일 확인 및 헤더값 변경 & 확장자 변경 된 파일을 찾는 법까지 확인 해본다.

1.데모버전으로는 case 생성이 안되므로 데모와 같이 제공된 이미지를 이용하여 분석하기로한다.
제공된 이미지를 불러 들인 현황 (hunter xp)

참고> 주어진 이미지 추가하는 방법
아래 그림에서는 비활성화 되어 있지만..
ADD Device -> Evidence File -> New -> 파일 선택 후 다음 클릭후 마침 선택하면
자동적으로 Verify가 진행되며 Verify 된 값을 확인하여 원본 이미지와 Verify 된 이지미 HASH 값 확인하여 분석 보고서에 기입해야합니다.(사본에 대한 무결성 확인)



2. Recover folders 를 실행함.




3. is Deleted tap  및 Description 위치를 조정한다..(아무래도 한 화면에 보기 용이하게 하려면...)
전체 이미지에서 삭제된 파일을 파악하기 위해 is Deleted tap을 클릭하여 Sorting 한다..
삭제된 파일을 한눈에 파악 가능한다.(보고서에 몇개의 파일 및 폴더가 삭제 되었는지 기록 한다.)
overwritten 되지 않았으면 복구 가능하다.


추가적으로 헤더값 변경이나, 확장자 변경을 찾기 위해서 Search 클릭 -> Verify file Signature 체크하여 Start 시킴


화면 우측 상단에 진행상황에 대한 내용이 표기 되며 완료 되면 아래와 같음




Signatur 을 보면 !band Sinaguture , *compond documnet 등의 형태가 보일것이다. 내용은 다음과 같다.

!bad Signature : 파일 헤더값 변경
*compond documnet : 파일 확장자 변경


다음 포스팅은 이번 포스팅에서 찾은 삭제 파일복원 및 헤더값 변경 및 확장자 변경된것을 복원 시키는 과정을 살펴 본다..

Posted by ^________________^
,