2016. 2. 23. 14:36ㆍ디지털포렌식 솔루션/Evidence Analysis
각 증거 이미지별 기본 항목을 조사한다.
|
1. 디스크에 설치된 운영체제를 조사한다. |
2개의 Evidence File, BParker.E01, CBarrow.E01 에 대한 조사이므로 Parker's HDD 와 Clyde's HDD 를 선택하고 Process 기능을 실행한다.
EnCase Processor Options pane 가 나타난다. Option 을 선택하고 하단에 OK 를 클릭한다.
Processing 작업이 완료되면 Records page 에서 작업된 결과를 확인할 수 있다.
Clyde's HDD Analysis
먼저 Clyde's HDD 부터 Analysis 을 해보겠다.
Records -> Clyde's HDD -> Evidence Processor Module Results -> System Infor Parser 를 확인한다.
우선 Time Zone 을 확인한다.
System Infor Parser -> SYS -> Windows -> Clyde's HDD (C) -> Operating System -> Time Zone
여기서 Display 부분에 Value Test 를 확인하니
(GMT-06:00) Central Time (US & Canada) 값을 확인할 수 있다.
즉 Clyde's HDD 의 Time Zone 은 US & Canada 에 해당하는 시간이란걸 확인할 수 있다.
System Infor Parser -> SYS -> Windows -> Clyde's HDD (C) -> Operating System -> System Artifacts 영역을 분석한다.
System Artifacts 에서 확인할 수 있는 정보는 다음과 같다.
Product Name : 설치된 운영체제
Product ID : 설치된 운영체제의 ID
Current Version : 설치된 운영체제의 현재 버전
Current Build Number : 설치된 운영체제의 현재 빌드 번호
Registered Owner : 설치되면서 등록된 계정
Registered Organization : 등록 기구
System Root : 시스템 권한 경로
Path Name : 경로 이름
Install Date : 설치된 날짜&시간 데이터
Shutdown Time : 종료된 날짜&시간 데이터
위 정보중에서는 설치된 운영체제, 설치되면서 등록된 계정, 설치된 날짜, 종료된 날짜 등을
기본적으로 확인해야 한다.
운영체제가 설치된 경로는 기본적으로 확인하지만, 보고서를 작성할 땐 이런 내용들을 전부 기입하진 않는다.
사용자 계정별 SID 를 확인하기 위해
System Infor Parser -> SYS -> Windows -> Clyde's HDD (C) -> Accounts ->
User Accounts 를 확인한다.
User Accounts 에서 확인할 수 있는 정보는 Name 과 Security ID (SID) 를 확인할 수 있다.
분석을 진행할 때 SID 를 선택안해도 되지만, 포함하여 분석을 해도 어떻게든 활용되는 부분이 있다. 활용을 안하고 분석이 끝날 수도 있지만, SID 값을 이용해 퍼미션 정보를 확인한다든지, Recycle Bin 을 분석할 때 활용할 수 있다.
Windows 7 이후 부터는 Recycle Bin 이라는 휴지통 폴더가 있다. Recycle Bin 이 생성된다.
만약 User 가 1002 이라면 User 1002 에 해당하는 SID 값을 통해서 Recycle Bin 폴더가 생성된다. User 가 무언가 삭제를 했다면 Recycle Bin 폴더에 삭제한 User 에 해당하는 SID 값으로 폴더가 생긴다. 이 생성된 폴더를 통해 분석을 하면서 유추를 할 수 있으며, 분석하면서 기본 사항을 확인해서 분석하면 편하다.
Name , Security ID 정보를 확인하였다.
스크롤을 우측으로 이동하다보면 Last Logon Date 를 확인할 수 있다.
Last Logon Date 정보를 확인해보면 몇 초 차이지만 Clyde 계정이 Little Clyde 계정보다 빨리 Logon 을 했다.
SID 500 : Admin 계정이다. 그런데 Last Logon Date 를 확인해보니 기록이 안남아 있다.
이게 기록이 당연히 안남을 수 도 있다. 사용자가 행위를 통해 값을 수정할 수도 있다.
Logon Count 를 분석하면 Admin 계정이 0 인 경우도 있고, 아주 이상한 경우도 있다.
왜냐면 운영체제를 처음 설치하고 나서 계정을 생성했을 때 계정 자체가 Admin 계정 권한으로 생성되어 있으면 Administrator 로 Login 할 필요가 없다.
대개 자신의 ID 를 Admin 계정으로 만들기 때문에 구지 Admin 계정으로 Login 할 필요도 없고, 보안 정책상 Admin 계정을 못쓰게 막기도 한다.
Guset 계정도 활성화가 안되어 있다. 제어판에서 계정관리에 Guest ID 는 있는데 활성화는 안되어 있다. 눈엔 안보이지만 시스템에서 사용하는 계정도 있다.
이런 부분들로 인해 당황하지 말고, 해당 계정들의 역할을 미리 파악해 놓으면 나중에 반복적인 분석을 할 때 원활하게 분석을 진행할 수 있다. 이 부분은 사용자가 일부러 만들지도 않을 거고, 만들 수도 없다.
1. 디스크에 설치된 운영체제를 조사한다.
2. 운영체제에 생성되었던 사용자 계정을 조사한다.
3. 사용자 계정별 SID를 조사한다.
4. 설정된 Timezone setting값을 조사한다.
5. 가장 마지막으로 로그온한 사용자 계정과 로그온 시간을 조사한다.
Parker's HDD Analysis
Parker's HDD 분석 역시 Clyde's HDD 분석과 동일하게 하면 된다.
Records -> Parker's HDD -> Evidence Processor Module Results -> System Infor Parser 를 확인한다.
우선 Time Zone 을 확인한다.
System Infor Parser -> SYS -> Windows -> Clyde's HDD (C) -> Operating System -> Time Zone
여기서 Display 부분에 Value Test 를 확인하니
(GMT-06:00) Central Time (US & Canada) 값을 확인할 수 있다.
즉 Parker's HDD 의 Time Zone 역시 US & Canada 에 해당하는 시간이란걸 확인할 수 있다.
다음 System Artifacts 정보를 확인한다.
System Infor Parser -> SYS -> Windows -> Parker's HDD (C) -> Operating System -> System Artifacts 영역을 분석한다.
위 정보중에서는 설치된 운영체제, 설치되면서 등록된 계정, 설치된 날짜, 종료된 날짜 등을
기본적으로 확인해야 한다.
사용자 계정별 SID 를 확인하기 위해
System Infor Parser -> SYS -> Windows -> Parker's HDD (C) -> Accounts ->
User Accounts 를 확인한다. Name , Security ID 정보를 확인하였다.
스크롤을 우측으로 이동하다보면 Last Logon Date 를 확인할 수 있다.
Last Logon Date 정보를 확인해보면 몇 초 차이지만 Bonnie 계정이 Dad , Mom 계정보다 빨리 Logon 을 했다.
1. 디스크에 설치된 운영체제를 조사한다.
2. 운영체제에 생성되었던 사용자 계정을 조사한다.
3. 사용자 계정별 SID를 조사한다.
4. 설정된 Timezone setting값을 조사한다.
5. 가장 마지막으로 로그온한 사용자 계정과 로그온 시간을 조사한다.
