Download to read offline
![6
하드 디스크 손상 방지
사건현장, 노트북 분해 촬영 : 증거 수집과정 기록
휘발성 메모리 덤프
증거물을 밀봉상태로 이송(밀봉전용테이프+실 포장)
로드마스터
디스크 이미징 (복사) : 보관용, 분석용 -> 무결성 유지
드라마 [유령]
Ⅰ. IntroForensic](https://image.slidesharecdn.com/sssconforensicpt-170502094954/85/Ssscon-forensic-pt-6-320.jpg)
![[AIX] RDX Device Backup Guide](https://cdn.slidesharecdn.com/ss_thumbnails/aixrdxdeviceslideshare-190111123153-thumbnail.jpg?width=640&height=640&fit=bounds)
![[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win](https://cdn.slidesharecdn.com/ss_thumbnails/20115thcodeengnxcoolcat7virseprogrammessgedostowin-130526002722-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic](https://cdn.slidesharecdn.com/ss_thumbnails/pycon-180817172826-thumbnail.jpg?width=640&height=640&fit=bounds)
Ssscon forensic pt
- 1. File system Forensic FileRecovery 황 윤아 dnjy2002@naver.com 2017.05
- 2. I. Intro II. DiskStructure III. File System IV. Forensic Tool V. File Recovery
- 3. 3 왜 포렌식 강의인가? Why?Ⅰ. Intro 진입 장벽 배움 보안 관심
- 4. 4 포렌식이란? 출처: 네이버 지식백과 포렌식의개념 디지털기기를 매개체로 하여 발생한 특 정 행위의 사실 관계를 규명하고 증명 하기 위한 절차와 방법 범죄 사실을 규명하기 위해 각종 증거 를 과학적으로 분석하는 컴퓨터 법의학, 법과학 법적 증거물로써 제출할 수 있도록 하 는 일련의 절차와 행위 Ⅰ. IntroForensic
- 5. Forensic 5 분류 직업 설명 수사기관 경찰(사이버수사요원)특채, 사이버테러대응센터 소속 해양 경찰 과학수사팀, 항해장비 자료 분석 및 복구 검찰 대검찰청 디지털포렌식센터, 디스크분석, DB분석, 모바일분 석, 통화/계좌 분석,교육연구팀, 사이버팀 국방부 군무원, 기무사, 국방부조사본부, 육군수사단 등 수사업무 국정원 법률 관련 법무 법인 김앤장, 행복마루, 민후, 평강, 테크앤로우 디지털증거 분석 업무를 하거나 IT 사건과 관련하여 변호사를 보조하는 업무. 회계 관련 자료의 확보와 처리, 포렌식 컨설팅, 이디스커버 리 업무 회계 관련 회계 법인 안진 딜로이트, EY 한영, 삼일 PwC, 삼정 KPMG 기타 전국 시-도청, 국세청, 금융감독원, 공정거래 위원회, 방송통신위원회, 선거관리위원회, 한국 마사회 포렌식 관련 직업 출처: http://forensic-proof.com Ⅰ. Intro
- 6. 6 하드 디스크손상 방지 사건현장, 노트북 분해 촬영 : 증거 수집과정 기록 휘발성 메모리 덤프 증거물을 밀봉상태로 이송(밀봉전용테이프+실 포장) 로드마스터 디스크 이미징 (복사) : 보관용, 분석용 -> 무결성 유지 드라마 [유령] Ⅰ. IntroForensic
- 7. File System 7 출처: 위키백과 파일시스템이란? 저장 매체 OS 파일 시스템 디스크 장치 Windows FAT12, FAT16, FAT32, exFAT, NTFS Linux Ext2, Ext3, Ext4 Unix-like UFS OS2 HPFS MAC OS HFS, HFS+ Solaris ZFS 파일 시스템의 종류파일 시스템의 개념 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식 파일과 디렉터리를 계층구조로 저장 하는 메커니즘 컴퓨터에서 파일이나 자료를 쉽게 발견, 접근할 수 있게 보관이나 조 직하는 체제 Ⅰ. Intro
- 8. 8 Hard Disk 하드 디스크구조 Ⅱ. Disk Structure • 전원 커넥터 : 전원공급 • 헤드 : 데이터를 쓰거나 읽음, 플래터x2 개수(양면) • 데이터 커넥터 :하드디스크와 컴퓨터사이의 데이터를 전송해주는 단자 • 플래터 : 실제로 데이터가 저장되는 곳, 1장 이상으로 구성 • 스핀들 모터: 플래터를 돌림 • 액츄에이터 암 : 헤드를 데이터가 있는 위치로 움직임
- 9. 9 이미지 출처: 복구박사의블로그 플래터 구조 Ⅱ. Disk Structure 트랙: 섹터 단위의 모음, 원심 전체 섹터(Sector): 물리적인 최소단위(512byte=1sector) 클러스터: 섹터단위를 묶은 데이터 입출력 단위. 기본 4,096byte (=8 sector) Hard Disk
- 10. 10 파일 시스템 추상화구조 File System 역할: 파일시스템의 기본적인 동작은 운영체제가 각 파일을 사용하기 위해 저장되어 있는 위치로 접근하여 해당 데이터를 읽도록 함 메타영역 파일관리 : 파일이름, 위치, 크기, 시간 정보등 Data 영역 생성한 파일의 내용 Ⅲ. File System
- 11. 11 Byte Order: Big-endian/ Little-endian 바이트 오더(Byte Order) : 데이터가 저장될 때 순서 Big endian 왼쪽에서 오른쪽으로 읽음 벤더 : IBM, 모토로라 Little endian 오른쪽에서 왼쪽으로 읽음 벤더 : 인텔 Ⅲ. File SystemFile System
- 12. 12 주소 지정 방식 FileSystem Ⅲ. File System - CHS - 하드디스크 물리적 구조 기반 - 현재 사용하지 않음 - LBA - 물리적 구조 정보 불필요 - 섹터 단위로 디스크 마지막까지 차례로 주소 지정 - 고용량 디스크 지원
- 13. 13 MBR 구조 MasterBoot Record : 각 파티션의 BR영역을 관리하는 영역 MBR은 부팅에 필요한 Boot Code + 파티션 정보를 갖고있다. Boot Code : 부팅관련 코드 영역, 446byte크기 Partition Table: 실제 파티션 정보,64byte Signature : 2 byte 512byte로 이루어져 3가지로 나뉨. File System Ⅲ. File System
- 14. 0x00 0x01 0x020x03 0x04 0x05 0x06 0x07 0x08 0x09 0xA 0xB 0xC 0xD 0xE 0xF 0x00 Boot Code 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xA0 0xB0 0xC0 0xD0 0xE0 0xF0 0x100 0x110 0x120 0x130 0x140 0x150 0x160 0x170 0x180 0x190 0x1A0 Boot Code Boot Code 0x1B0 boot indicato - 00 : 부팅 불가 - 08 : 부팅 가능 0x1C0 Starting C HS Addres s 02 03 00 Partition type - 0B (FAT32) Ending CHS Address Starting LBA Address Size in Secrot 0x1D0 0x1E0 0x1F0 MBR Signature 55 AA (0x AA 55) 14 MBR 구조 File System Ⅲ. File System
- 15. 15 FAT32 구조 File SystemⅢ. File System
- 16. 16 FAT32 구조 File SystemⅢ. File System Boot Sector(BR) Reserved FAT FAT Mirror Root Directory Data Area 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0xA 0xB 0xC 0xD 0xE 0xF 0x00 Jump Boot Code (EB 3C 90) OEM Name (ascii MSDOS 5.X) Byte per Sector Sector per Cluster RS(예약된 섹터 수) 1A 10 0x10 Number of FATs Root Directory Entry Count Total Sector Media - 0xF8 고 정 FAT Size 16 Sector per Track Number of Herder Hidden Sector 0x20 Total Sector FAT Size 32 플래그구간 파일시스템 버전 Root Diretory Cluster - 02 00 00 00 0x30 FS(파일시스템) info 01 00 129번섹터에 있다 Boot Record backup sect or 06 00 134번 섹터에 있다 Reserved (BR백업본) 0x40 Drive Num ber 예약 Boot Signa ture Volume ID Volume Lavel 0x50 Volume Lavel File System Type
- 17. 17 FAT32 구조 File SystemⅢ. File System 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0xA 0xB 0xC 0xD 0xE 0xF 0x00 NAME - 파일 이름 또는 디렉토리 -0xE5로 시작 시 해당 파일은 삭제되어있는 파일을 의미 Extender - 확장자 속성 파일의 생성시간 5bit : 시간 6bit : 분 5bit : 초 0x10 파일생성 날짜 - 7bit : 년도 - 4bit : 월 - 5bit : 일 Last Access date - 파일의 읽기/쓰지 작업 마지막 날짜 Fist Cluster High write time write date Fist Cluster Low File size Boot Sector(BR) Reserved FAT FAT Mirror Root Directory Data Area
- 18. 18 NTFS 구조 File SystemⅢ. File System NTFS(New Technology File System) : 파일, 디렉터리, 메타정보를 파일형태로 관리 VBR(Volume Boot Record) : 부트 섹터와 부트코드가 위치, 클러스터 크기에 따라 변동 MFT : 파일시스템의 모든 파일들과 디렉토리에 대한 정보를 포함. NTFS 핵심!모든 파 일, 디렉토리는 하나의 엔트리를 가진다. Data : 파일의 실제 내용만 저장
- 19. 19 VBR 구조 File SystemⅢ. File System 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0xA 0xB 0xC 0xD 0xE 0xF 0x00 Jump Boot Code OEM ID NTFS Byte Per Sector - 02 00 : 512 Sector Per Cluster RS 0x10 Unused Media 0xF8 : 고정식 Unused 0x20 Unused Total Sectors 0x30 Start Cluster for $MFT Start Cluster for $MFT Mirr 0x40 clus per Entry Unused clus Per Index Unused Volume Serial Number 0x50 Unused
- 20. 20 MFT 구조 File SystemⅢ. File System
- 21. 21 MTF Entry 구조 FileSystem Ⅲ. File System MFT Entry : 파일의 메타 정보(위치, 시간 정보, 크기, 파일 이름 등) 저장 $STANDARD_INFORMATION : 파일의 생성.접근.수정 시간, 소유자 등의 정보 $FILE_NAME : 파일 이름(유니코드), 파일의 생성.접근.수정 시간 $DATA : 파일 내용
- 22. 22 0x00 0x01 0x020x03 0x04 0x05 0x06 0x07 0x08 0x09 0xA 0xB 0xC 0xD 0xE 0xF 0x00 Attribute Type ID 80 00 00 00: $DATA Length of Attribute N-R F LoN Offset to Name Flags Attribute ID 0x10 Start Virtual Cluster Number Of the Runlist End Virtual Cluster Number Of the Runlist 0x20 Offset to Runlist Compression Unit Size Unused Allocated Size of Attribute Content 0x30 Real Size of Attribute Content 실제파일의 크기 Initialized Size of Attribute Content 실제파일 초기크기 0x40 Attribute Name 실제 데이터 위치정보 File System Ⅲ. File System $Data구조
- 23. Forensic Tool 23 툴의 종류 Ⅳ.Forensic Tool • HxD(무료 헥사 에디터) • 바이너리 파일을 Hex형식으로 보여준다. • 편집이 가능하다. 오늘 사용할 아이! • FTK Imager() • 디스크 이미징 가능 • 파일 복구 • 휘발성 데이터 수집 가능 등등
- 24. 파일 복구 실습 FAT32파일 복구 과정 24 Ⅴ. File Recovery LBA(BR) 계산 예약 공간(RA) , FAT SIZE 계산 FAT1 : BR + RA FAT2 : FAT1 + FAT SIZE ROOT : FAT2 + FAT SIZE FILE SIZE 계산 파일 실제 데이터 위치 : ROOT + ((CH + CL)-2) * 8(1Clu) FILE SIZE 복사 후 새 파일 생성 및 저장 생성 시간 : 2진수 전환 > 5/6/5 bit 분할 10진수 전환 > 시/분/초 생성 날짜 : 2진수 전환 > 7/4/5 bit 분할 10진수 전환 > 년/월/일
- 25. 파일 복구 실습 25 Ⅴ.File Recovery NTFS 파일 복구 과정 VBA(BR) 계산 START MFT 계산 MFT : 128 + START MFT * 8(1Clu) Ex) MFT# 39 파일 위치 : MFT위치 + 파일MFT#(39) *2(1Entry당 2섹터사용) 실제 FILE SIZE 계산 실제 데이터 위치 정보 : 런리스트 계산 > BR+ 런리스트 값 * 8 FILE SIZE 복사 후 새 파일 생성 및 저장
- 26. END 26 추천 도서 디지털포렌식의 세계 / 이준형,조정원 Start UP 디스크 포렌식 / 이별 네트워크 패킷 포렌식 / 최경철 포렌식 관련 블로그 http://forensicinsight.org/slides http://maj3sty.tistory.com/ http://forensic-proof.com/ 포렌식 워게임 KDFS 포렌식 : 한국 디지털포렌식 학회 대회 DC3 :미 국방부 산하 기관 챌린지 디지털 범인을 찾아라 (경진대회) http://xcz.kr (몇문제) Q&A 나머지는 궁금한 거~ 포렌식 강의 관련, 보안/해킹 관련 Tip 지극히 개인적인 추천과 Tip Ⅶ. 내용을 입력해 주세요
- 27.
Editor's Notes
- #10 대용량 파일이 저장될때 섹터단위로 저장하게 되면 시간이 오래걸리므로 이를 해결하기위해 나온게 클러스터