Window Forensics 프로파일 및 파일 다운로드 실습

@ 프로파일 및 파일다운 분석 실습-1

"다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!"

"경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 그래서 경찰청은 그대들에게 다음과 같이 요청한다."


 - 사용 도구 : AccessData FTK Imager, BEncode Editor, NTFS Log Tracker
 - 분석 파일 : Download

[힌트] 토렌트 프로그램은 'setting.dat' 파일을 이용하여 토렌트 기본 설정과 배포를 위한 시드 파일 정보를 관리한다.


1) 'Download' 파일을 AccessData FTK Imager로 오픈한다.

파일을 올린 후 root 디렉터리로 이동해보자 

여기서 눈여겨봐야할것은 $LogFile $MFT 가 

로그파일 디스크생성, 삭제등의 모든기록이 다 적힘 

mft 디스크에존재하는 파일과 디렉터리에 대한 메타정보

파일의 생성날짜, 수정날짜, 파일의 크기 등등을 기록
2) uTorrent 폴더 및 'setting.dat' 파일을 검색한다. 

 

여기서 눈여겨봐야할것은 Desktop document download 

Desktop -> 바탕화면임

토렌트  

 

appdata 중요 

3) 'setting.dat' 파일을 추출하여 '실습-1' 폴더에 저장한다.

4) 실습-1 폴더에 추출된 'setting.dat' 파일을 BEncode Editor로 오픈하여, 시드 파일 위치와 이름을 찾도록 한다.

파일다운위치경로

시드파일의위치경로

시드파일 -> 영상파일이 어디에있는지 알려줌 ?? 

5) AccessData FTK Imager에서 시드 파일 위치와 이름을 확인하도록 한다.

6) '$LogFile' 파일과 '$MFT' 파일을 추출하여 '실습-1' 폴더에 저장한다.

7) 추출된 '$LogFile' 파일과 '$MFT' 파일을 NTFS Log Tracker를 이용하여 CSV 파일로 '실습-1' 폴더에 저장한다.

8) 추출된 'LogFile.csv' 파일을 오픈하여 시드 파일 생성 시간 및 수정 시간을 확인하도록 한다.

seed파일 생성시간