무민이의 반반무많이

FAU 사용법 본문

Forensic/EnCase

FAU 사용법

M00min 2016.11.07 23:42

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


■ Local 이미지 수집

- Port를 열어서 상대방 PC로 데이터를 전송할 수 있다. (포트 열기 : nc / 전송 : dd)


1. CMD에서 FAU .x86 폴더로 이동한다. (자신의 OS Bit에 맞게 이동)


2. volume_dump.exe > c:\volume.txt를 입력한다.


3. C드라이브에서 생성된 volume.txt파일을 열어서 내용을 확인한다. (시스템 Volume 정보파티션 크기 등 확인 가능)


4. 다시 CMD 창으로 돌아가서 dd.exe -v if=\\.\c: of=c:\winxp.001 conv=noerror --log --cryptsum md5 --cryptsum sha1 –localwrt를 입력한다.


5. 완료되면, c:\ 위치에 winxp.001, winxp.log, winxp.thumbprints.xml 파일이 생성되는 것을 확인할 수 있다.


■ 원격 이미지 수집

- 조사관 PC에서 nc를 통해 포트를 열고, 조사대상 PC에서 dd를 통해 데이터를 전송할 수 있다. (nc : 네트워크로 데이터 전송 가능하며, telnet 대신 많이 사용원격에서 명령어를 실행할 수 있다.)


1. 조사관 PC의 CMD를 관리자 권한으로 실행하고, CMD에서 에서 FAU .x64 폴더로 이동한다. (자신의 OS Bit에 맞게 이동)


2. nc.exe -v -n -L -p 7788 -s IP주소 -O c:\windowsxp.001 –localwrt를 입력하여조사관 PC에서 nc를 통해 포트를 오픈한다(-s : 포트를 열 조사관 PC의 IP, -n : 리버싱하지 못하게 하는 옵션, -L : 포트를 한번 열면 계속 열도록 하는 옵션.) (–O는 반드시 대문자로 입력해야한다!)


3. 조사대상 PC의 CMD 창을 실행하고, CMD에서 에서 FAU .x86 폴더로 이동한다. (자신의 OS Bit에 맞게 이동)


4. dd.exe -v if=\\.\c: of=조사관IP conv=noerror --iport 7788 --cryptsum md5를 입력하여조사관 PC에 조사대상 PC의 이미지를 전송한다.


5. 조사대상 PC의 이미지 파일이 조사관 PC에 정상적으로 전송되는 것을 확인할 수 있다.


6. 원격으로 수집한 이미지를 확인하기 위해 EnCase에서 Case를 새로 생성하고, Add Evidence의 Add Raw Image를 클릭한다.



7. New 버튼을 클릭한다.


8. 5번에서 수집된 이미지 파일의 경로로 이동해서수집된 이미지 2개를 모두 선택한 후 열기 버튼을 클릭한다.


9. OK 버튼을 클릭한다.


10. Disk Image를 더블 클릭한다.


11. 우측에 Unused Disk Area라고 표시되면서 아무런 정보가 표시되지 않는 것을 확인할 수 있다.


12. 다시 10번 화면으로 돌아가서, Disk Image를 선택하고상단의 Remove 버튼을 클릭한다.


13. (Y) 버튼을 클릭한다.


14. 다시 Home으로 가서, Add Raw Image를 클릭한다.


15. New 버튼을 클릭한다.


16. 5번에서 수집된 이미지 파일의 경로로 이동해서수집된 이미지 중 2번째 것만 선택한 후 열기 버튼을 클릭한다.


17. OK 버튼을 클릭한다.


18. Disk Image를 더블 클릭한다.


19. 수집한 이미지 파일의 정보가 정상적으로 표시되는 것을 확인할 수 있다.


20. 뒤로가기 버튼을 누르고 돌아가서, Disk Image를 클릭하고하단의 Time Zone을 확인한다.


21. Disk Image를 더블 클릭해서 다시 들어가고, WINDOWS\system32\config로 이동해서 파일을 확인한다. system, software, SECURITY, SAM, default와 같이 확장자가 없는 파일들이 Registry 파일이다.


22. system 마우스 우클릭 – Entries – View File Structure를 클릭한다.


23. 아무것도 체크하지 않고, OK 버튼을 클릭한다.


24. system이 파란색으로 변하고이름의 좌측에 녹색으로 +모양이 생긴 것을 확인할 수 있다.


25. system을 클릭하고 들어가서, $$$PROTO.HIV 폴더의 목록을 확인한다.


26. 조사대상 PC에서 시작 – 실행 – regedit을 입력한다.


27. HKEY_LOCAL_MACHINE\SYSTEM 폴더의 목록을 확인하면, 26번의 목록과 거의 일치하는 것을 확인할 수 있다.


28. EnCase에서 system의 $$$ PROTO.HIV에서 Select폴더의 Default 파일을 클릭하고하단의 Hex 탭을 클릭해서 01 00 00 00 값을 확인한다.


29. system $$$ PROTO.HIV에서 ControlSet001 – Control – TimeZoneInformation 폴더로 이동해서, StandardName 파일을 클릭하고하단의 Text 탭을 클릭한다.


30. Text 탭 하단의 Codepage – Unicode를 클릭한다.


31. 대한민국 표준시라고 표시되는 것을 확인할 수 있다.


32. 하단의 Decode 탭을 클릭하고, View Types – Integers – 32-bit Integer를 클릭한다.


33. 상단의 나침반 모양의 아이콘으로 되어있는 Device – Modify Time Zone Settings…를 통해 시간을 변경할 수 있다.

'Forensic > EnCase' 카테고리의 다른 글

파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
쓰기 방지 설정  (0) 2016.11.04
0 Comments
댓글쓰기 폼