[1] Interpret partition and volume information
▪ [MBR] What is the total sector count of the 2nd partition?
Disk Editor 프로그램을 이용하여 Master Boot Record에서 2nd partition의 total sectors를 찾으면 1953653108이다. 참고로 hex값에서는 파란색 네모 위치가 total sector을 나타내는 곳이다.
답) 1953653108
▪ [2nd volume’s VBR] What filesystem was formatted on the 2nd volume?
D:, E:, F:중 E:가 2번째 volume이다. E:의 속성을 확인해보면, file system이 NTFS인 것을 알 수 있다.
답) NTFS
▪ [2nd volume’s VBR] What is the total sector count of the 2nd volume?
E:의 total sectors를 확인해보면, 103650169이다.
답) 103650169
▪ [MBR & VBR] Why is there difference between the total sector counts from MBR and VBR?
답) NTFS는 VBR이 아니라 Data Area에 백업되는데, 이 백업이 Volume을 넘어가 Volume size에 포함되지 않아 섹터 수에 차이가 있다.
[2] Find a file located at ‘/Windows/System32/config/SYSTEM’
▪ What is the size of this file in bytes?
SYSTEM 파일의 메타데이터를 확인해보면, 파일의 크기는 10747904이다.
답) 10747904
▪ What is the modified time of this file?
SYSTEM 파일의 메타데이터를 확인해보면, 파일의 수정된 시간은 2022-05-02 14:58:38 KST이다.
답) 2022-05-02 14:58:38 KST
▪ What is the signature of this file?
SYSTEM 파일의 첫 4바이트를 확인해보면, file signature는 regf이다.
답) regf
[3] Find the largest ‘PNG’ image file (having .png extension)
▪ What is the full path of this file?
keyword search에 .png를 입력하면 아래 사진과 같이 결과 리스트가 나온다.
size를 내림차순 정렬한 후, extension이 .png인 것 중 가장 큰 사진을 찾으면 img103.png이다.
파일의 메타 데이터를 확인해보면, 파일의 경로는 /Windows/Web/Screen/img103.png이다.
답) /Windows/Web/Screen/img103.png
▪ What is the size of this file in bytes?
파일의 메타 데이터를 확인해보면, 파일의 크기는 3364968이다.
답) 3364968
▪ What is the width and height of this image?
Autopsy의 Image/Video Gallery에 들어가서 image103.png를 열면 아래와 같은 정보가 나온다.
width는 1920, height는 1200이다.
답) 1920 x 1200
[4] Find files modified just before the system was powered off
▪ What is the full path of the last modified file?
gkape 프로그램을 이용하여 $J, $LogFile, $MFT 파일을 추출한다.
NTFS Log Tracker 프로그램을 이용하여 $J 파일을 보면, 중간에 2022-05-02 12:46:07부터 2022-05-02 14:45:43까지 일이 중단된 것으로 보아 12:46:07에 전원이 나간 것을 알 수 있다.
그 시점의 모든 파일의 $LogFile을 확인해보면, FontCache-FontFace.dat 파일이 전원이 나가기 전 마지막으로 수정된 파일임을 알 수 있다. 이 파일의 경로는 \Windows\ServiceProfiles\LocalService\AppData\Local\FontCache\FontCache-FontFace.dat 이다.
답) \Windows\ServiceProfiles\LocalService\AppData\Local\FontCache\FontCache-FontFace.dat
▪ What is the modified time of the last modified file?
이 파일이 수정된 시각은 2022-05-02 12:33:29이다.
답) 2022-05-02 12:33:29
[5] Identify the history of renaming ‘/Users/student/Downloads/exam.pptx’ file
▪ What is the previous name of this file?
NTFS Log Tracker 프로그램을 이용하여 exam.pptx의 LogFile을 보면 ‘Renaming File’이라는 이벤트가 있었고, 이름을 바꾸기 전 파일의 이름은 memo-confidential.xlsx이다.
답) memo-confidential.xlsx
▪ When was the name changed?
event가 발생한 시각을 보면, 2022-05-02 14:53:43이다.
답) 2022-05-02 14:53:43
[6] Identify a file deleted from ‘/Users/student/Documents/’ folder
▪ What is the name of the deleted file?
NTFS Log Tracker 프로그램을 이용하여 /Users/student/Documents/ 경로에 있는 모든 LogFile을 보면, ‘confidential-the-schedule.sqlite’파일의 ‘File Deletion’이벤트가 있었다.
답) confidential-the-schedule.sqlite
▪ When was the file deleted?
file deletion 이벤트가 발생한 시각은 2022-05-02 14:54:36이다.
답) 2022-05-02 14:54:36
[7] Find files that were downloaded through Edge browser and stored in ‘/Users/student/Downloads/’ folder
▪ What is the name of the most recently downloaded file?
Alternate Stream View 프로그램을 이용하여 /Users/student/Downloads/ 경로 내 파일을 스캔하면 아래와 같이 나온다.
file created time을 보면 이 중 fun.piz 파일이 제일 최근에 다운로드 된 것을 알 수 있다.
답) fun.piz
▪ What is the URL that was used for downloading this file?
fun.piz 파일의 Zone.Identifier을 export하여 확인해보면 아래와 같다.
따라서, URL 주소는 http://dfrc.korea.ac.kr/tools/fun.piz 이다.