DFAS Pro를 활용한 Data Leakage Hacking Case 컴퓨터 포렌식 분석

박원형

출간작으로『사이버모의공격도구이론과실무』등이있다.

01장디지털포렌식개념및기초

02장CFReDS:DataLeakageCase
(1)CFReDS란?
(2)DataLeakageCase다운로드
(3)DataLeakageCase시나리오
(4)사내보안정책
(5)기타
(6)분석대상정보

03장PC정보수집
(1)각이미지의해시값을확인하고검증하시오
(2)PC이미지의파티션정보를확인하시오
(3)설치된OS는무엇인가?(설치날짜,OS이름,등록된소유자/조직등)
(4)시간대(timezone)정보는무엇인가?
(5)컴퓨터의이름은무엇인가?
(6)모든계정의상세정보를나열하시오.(계정명,마지막로그인시각,로그인횟수등)
(7)마지막으로로그온한사용자는누구인가?
(8)마지막시스템종료시각은언제인가?
(9)DHCP에할당된IP주소는무엇인가?
(10)OS설치후용의자가설치한프로그램은무엇인가?

04장사용자행위분석
(11)응용프로그램실행로그를나열하시오.(실행경로,실행시간,실행횟수등)
(12)시스템시작/종료,로그온/로그오프기록을찾으시오.(문제4의시간대를기준으로09:00~18:00사이의시간범위만고려)
(13)사용된웹브라우저는무엇인가?
(14)웹브라우저기록과관련한디렉터리/파일경로를나열하시오.
(15)용의자가접근한웹사이트를나열하시오.
(16)웹브라우저를사용해검색한모든키워드를나열하시오.
(17)윈도우탐색기검색창에타이핑한모든검색키워드를나열하시오.
(18)이메일에사용된응용프로그램은무엇인가?
(19)이메일파일의모든위치를나열하시오.
(20)용의자의이메일계정은무엇인가?
(21)용의자의모든이메일을나열하고,가능하면삭제된이메일을찾으시오.(힌트:OST파일만검색)
(22)시스템에연결된모든외장저장장치를나열하시오.
(23)바탕화면폴더에서‘이름바꾸기’와관련한모든흔적을식별하시오.(2015-03-23~2015-03-24날짜범위만고려)
(24)회사의공유네트워크드라이브의IP주소는무엇인가?
(25)‘RM#2’에서탐색된모든디렉터리를작성하시오.
(26)‘‘RM#2’에서열어본모든파일을나열하시오.
(27)회사네트워크드라이브에서탐색된모든디렉터리를나열하시오.
(28)회사네트워크드라이브를통해열어본모든파일을나열하시오.
(29)시스템에서클라우드서비스와관련된흔적을찾으시오.(서비스이름,로그파일등)
(30)구글드라이브에서삭제된파일은무엇인가?파일명과수정시간을찾으시오.(구글드라이브트랜잭션로그확인)
(31)구글드라이브동기화를위한계정은무엇인가?
(32)CD-R굽기에사용된방법(또는소프트웨어)는무엇인가?
(33)용의자는언제CD를레코딩하였는가?
(34)시스템에서CD-R로복사된파일은무엇인가?
(35)CD-R에서열어본파일은무엇인가?
(36)바탕화면의사직서파일과관련한모든타임스탬프를조사하시오.
(37)용의자가사직서를인쇄한시각은언제인가?
(38)Thumbcache파일의위치는어느경로인가?
(39)Thumbcache에저장된기밀파일의흔적을찾으시오.
(40)스티커메모파일의경로는어디인가?
(41)스티커메모파일에저장된메모를확인하시오.
(42)윈도우‘검색및색인’기능이활성화되어있는가?‘windowsSearch’색인데이터베이스의위치는어디인가?
(43)WindowsSearchDB에저장된데이터는무엇인가?
(44)WindowsSearchDB에서InternetExplorer사용량과관련한흔적을찾으시오.(2015-03-23~2015-03-24사이의기간만고려)
(45)WindowsSearchDB에저장된Email통신흔적을찾으시오.(2015-03-23~2015-03-24사이의기간만고려)
(46)WindowsSearchDB에저장된윈도우바탕화면과관련된파일과디렉터리흔적을찾으시오.(User\informant\Desktop)
(47)볼륨쉐도우카피의위치와각복사본파일의생성시각은언제인가?
(48)볼륨쉐도우카피에서구글드라이브서비스와관련한흔적을찾으시오.
(49)구글드라이브에서삭제된파일은무엇인가?VSC내snapshot.db의cloud_entry테이블에서삭제된레코드를찾으시오.
(50)VSC에서아웃룩전자메일데이터를찾을수없는이유는무엇인가?
(51)시스템의휴지통을조사하시오.
(52)마지막날인‘2015-03-25’에시스템에행해진안티포렌식행위는무엇인가?
(53)‘RM#2’에서삭제된파일을복구하시오.
(54)‘RM#2’에행해진안티포렌식행위는무엇인가?
(55)시스템에서‘RM#2’로복사된파일은무엇인가?
(56)CD-R‘RM#3’에숨겨진파일을복구하시오.
(57)CD-R‘RM#3’에행해진안티포렌식행위는무엇인가?
(58)데이터유출타임라인을구성하시오.
(59)용의자가수행한데이터유출방법을열거하고설명하시오.
(60)결과요약에대한시각적다이어그램을만드시오.

05장CFReDS:HackingCase
(1)HackingCase다운로드
(2)HackingCase시나리오
(3)HackingCase이미지파일및문제리스트

06장PC정보수집
(1)이미지의해시값을확인하고검증하시오
(2)설치된OS는무엇인가?
(3)OS가설치된날짜는언제인가?
(4)시간대(timezone)정보는무엇인가?
(5)등록된소유자(Registeredowner)는누구인가?
(6)컴퓨터의이름은무엇인가?
(7)작업그룹(PrimaryDomain)은무엇인가?
(8)마지막시스템종료시각은언제인가?
(9)등록된계정은몇개인가?
(10)컴퓨터를가장많이사용하는계정은무엇인가?
(11)마지막으로로그온한사용자는무엇인가?

07장사용자행위분석
(12)GregSchardt가Mr.Evil이고이컴퓨터의관리자임을증명하는파일은어떤파일이고,어떤프로그램과관련이있는가?
(13)이컴퓨터가사용하는네트워크카드는무엇이있는가?
(14)이컴퓨터의IP주소와MAC주소를기록한파일이있다.IP주소와MAC주소는무엇인가
(15)LOOK@LAN설치및설정시사용된네트워크인터페이스카드는무엇인가?
(16)해킹에사용된것으로추정되는설치된응용프로그램6개는무엇인가?
(17)Mr.Evil의SMTP이메일주소는무엇인가?
(18)Mr.Evil의NNTP(NewsServer)서버설정은무엇인가?
(19)해당정보(NNTP)를보여주는프로그램두개는무엇인가?
(20)Mr.Evil이구독한5개의뉴스그룹은무엇인가?
(21)MIRC라불리는인기IRC프로그램이설치되어있다.사용자가온라인상태로채팅채널에있을때표시되는사용자설정은무엇인가?
(22)MIRC는세션을기록하는기능이있다.이컴퓨터의사용자가접속한IRC채널3개를나열하라.
(23)스니핑프로그램“Ethereal”이설치된것으로확인된다.TCP패킷을수집할때가로챈데이터를포함하는파일은USER의기본디렉터리에저장된다.해당파일의이름은무엇인가?
(24)23번문제에서확인한파일을텍스트형식을보면누가무엇을도청했는지에대한다양한정보를확인할수있다.피해자는어떤유형의컴퓨터를사용했는가?
(25)피해자가접근한웹사이트는무엇인가?
(26)메인사용자의웹기반이메일주소는무엇인가?
(27)웹기반이메일서비스인야후메일은이메일사본을어떤이름으로저장하는가?
(28)휴지통에몇개의실행파일이있는가?
(29)휴지통에있는실행파일은정말로삭제되었는가?
(30)파일시스템에의해삭제된것으로표시된파일은몇개인가?
(31)안티바이러스(백신프로그램)를실행했을때,해당컴퓨터에서바이러스가검출되는가?