- 2017-04-10
- Posted by: plainbit
- Categories:
No Comments
파일시스템 포렌식 분석FSFA, File System Forensic Analysis
디지털기기를 분석하려면 기기의 운영체제를 비롯해 다양한 포렌식 아티팩트를 학습해야 합니다. 파일시스템은 그 중 가장 기본적인 아티팩트이자 가장 중요한 아티팩트입니다. 파일시스템 데이터의 숨겨진 의미를 파악하면 보다 정확한 사용자 행위 추적이 가능합니다.
본 과정은 파일시스템의 모든 내용을 다루지 않습니다. 윈도우, 리눅스, OS X의 대표 파일시스템을 대상으로 포렌식 분석에 활용되는 포인트만 심도있게 학습합니다. 파일시스템의 분석 내용과 함께 플레인비트의 사고 대응 경험에서 쌓은 경험을 전달해드립니다.
과정 상세 내용
교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식 : 이론 (50%) + 실습 (50%)
제공 사항 : 노트북 지원, 교육 기간 내 점심 및 다과 제공
※ 본 교육에서 다루는 모든 조사 기법은 윈도우 10 (x64) 환경을 기준으로 합니다.
| 일정 | 주제 | 상세 내용 |
|---|---|---|
| 1일차 | 디지털 포렌식 분석 개요 | 디지털 포렌식 분석 소개 |
| 디지털 포렌식 분석 동향 | ||
| 디지털 포렌식 분석 사례 | ||
| 파일시스템 개요 | 저장장치 및 파일시스템 원리 | |
| MBR, GPT 구조 분석 | ||
| 파괴된 MBR, GPT 복원 | ||
| FAT32 파일시스템 | 예약된 영역, FAT 영역, 데이터 영역 구조 분석 | |
| 파괴된 부트섹터 복원 | ||
| 파일 삭제 원리와 복구 가능성 | ||
| 디렉터리 엔트리 복구와 파일 카빙, 파일 조각 재조합 | ||
| {사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적} | ||
| 시간 조작, 데이터 은닉 등 안티포렌식 대응 방안 | ||
| 2일차 | FAT64(exFAT) 파일시스템 | VBR, FAT, 클러스터 힙 구조 분석 |
| 파괴된 VBR 복원 | ||
| 파일 삭제 원리와 복구 가능성 | ||
| 디렉터리 엔트리 복구와 파일 카빙, 파일 조각 재조합 | ||
| {사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적} | ||
| 시간 조작, 데이터 은닉 등 안티포렌식 대응 방안 | ||
| NTFS | VBR, MFT, 데이터 영역 구조 분석 | |
| (Non)Resident 데이터, ADS 분석 | ||
| 3일차 | 파괴된 VBR 복원 | |
| 파일 삭제 원리와 복구 가능성 | ||
| MFT 레코드 복구와 파일 카빙 | ||
| {사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적} | ||
| MFT 슬랙, INDX 슬랙, 파일 슬랙 활용 | ||
| 시간 조작, 데이터 은닉 등 안티포렌식 대응 방안 | ||
| 파일시스템 로그 분석 | ||
| 4일차 | EXT4 파일시스템 | EXT 레이아웃, 부트섹터, 블록 그룹, LVM 구조 분석 |
| 슈퍼블록, 그룹기술자, 블록 비트맵, 아이노드, 데이터 영역 구조 분석 | ||
| 파괴된 부트섹터 복원 | ||
| 파일 삭제 원리와 복구 가능성 | ||
| 디렉터리 엔트리, 아이노드 복구와 파일 카빙 | ||
| {사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적} | ||
| 시간 조작, 데이터 은닉 등 안티포렌식 대응 방안 | ||
| 저널 로그 분석 | ||
| 5일차 | HFS+ 파일시스템 | 볼륨 헤더, Allocation, Catalog, Extents overflow, Startup 파일 구조 분석 |
| 파괴된 볼륨 헤더 복원 | ||
| 파일 삭제 원리와 복구 가능성 | ||
| 메타 정보 복구와 파일 카빙 | ||
| {사용자 행위별 타임스탬프 변화 식별} + {사용자 행위 추적} | ||
| 시간 조작, 데이터 은닉 등 안티포렌식 대응 방안 | ||
| 저널 로그 분석 |