파일시스템 포렌식 분석FSFA, File System Forensic Analysis

디지털기기를 분석하려면 기기의 운영체제를 비롯해 다양한 포렌식 아티팩트를 학습해야 합니다. 파일시스템은 그 중 가장 기본적인 아티팩트이자 가장 중요한 아티팩트입니다. 파일시스템 데이터의 숨겨진 의미를 파악하면 보다 정확한 사용자 행위 추적이 가능합니다.

본 과정은 파일시스템의 모든 내용을 다루지 않습니다. 윈도우, 리눅스, OS X의 대표 파일시스템을 대상으로 포렌식 분석에 활용되는 포인트만 심도있게 학습합니다. 파일시스템의 분석 내용과 함께 플레인비트의 사고 대응 경험에서 쌓은 경험을 전달해드립니다. 

과정 상세 내용

교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식  : 이론 (50%) + 실습 (50%)
제공 사항  : 교육 기간 내 점심 및 다과 제공
교육생 준비사항 : 노트북 지참 (윈도우 7 설치 권장)

일정 주제 상세 내용
1일차 디지털 포렌식 분석 개요 디지털 포렌식 분석 소개
디지털 포렌식 분석 동향
디지털 포렌식 분석 사례
파일시스템 개요 저장장치 및 파일시스템 원리
MBR, GPT 구조 분석
파괴된 MBR, GPT 복원
FAT32 파일시스템 예약된 영역, FAT 영역, 데이터 영역 구조 분석
파괴된 부트섹터 복원
파일 삭제 원리와 복구 가능성
디렉터리 엔트리 복구와 파일 카빙, 파일 조각 재조합
{사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적}
시간 조작, 데이터 은닉 등 안티포렌식 대응 방안
2일차 FAT64(exFAT) 파일시스템 VBR, FAT, 클러스터 힙 구조 분석
파괴된 VBR 복원
파일 삭제 원리와 복구 가능성
디렉터리 엔트리 복구와 파일 카빙, 파일 조각 재조합
{사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적}
시간 조작, 데이터 은닉 등 안티포렌식 대응 방안
NTFS VBR, MFT, 데이터 영역 구조 분석
(Non)Resident 데이터, ADS 분석
3일차 파괴된 VBR 복원
파일 삭제 원리와 복구 가능성
MFT 레코드 복구와 파일 카빙
{사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적}
MFT 슬랙, INDX 슬랙, 파일 슬랙 활용
시간 조작, 데이터 은닉 등 안티포렌식 대응 방안
파일시스템 로그 분석
4일차 EXT4 파일시스템 EXT 레이아웃, 부트섹터, 블록 그룹, LVM 구조 분석
슈퍼블록, 그룹기술자, 블록 비트맵, 아이노드, 데이터 영역 구조 분석
파괴된 부트섹터 복원
파일 삭제 원리와 복구 가능성
디렉터리 엔트리, 아이노드 복구와 파일 카빙
{사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적}
시간 조작, 데이터 은닉 등 안티포렌식 대응 방안
저널 로그 분석
5일차 HFS+ 파일시스템 볼륨 헤더, Allocation, Catalog, Extents overflow, Startup 파일 구조 분석
파괴된 볼륨 헤더 복원
파일 삭제 원리와 복구 가능성
메타 정보 복구와 파일 카빙
{사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적}
시간 조작, 데이터 은닉 등 안티포렌식 대응 방안
저널 로그 분석