반응형
법률, 디스크 이미징, 디스크 복원 생략
(복원은 디지털포렌식 2급 실기 175 ~ 182 페이지 참고)
1. 본사의 조작지시와 조작된 POS데이터의 흔적을 찾아 해당 파일을 추출하여 제출하시오
1.1. 시그니처 분석
시그니처 자동 분석을 통해 확장자와 시그니처가 다른 파일을 찾는다.
조건검색으로 확장자와 시그니처가 다른 파일을 필터링한다.
1.2. 시그니처가 불일치한 파일 분석
"본사지시사항에 대한 답변.jpg"는 이미지 파일이지만 KFOLT의 Image로 분석하면 이미지가 보이지 않는다. 하지만, Document로 분석하면 파일 내용이 보인다.
[이미지 04]에 있는 내용을 복사해서 메모장에 붙여넣기 한다. 본사가 지시한 조작한 내용이 확인된다.
'본사지시사항에 대한 답변.jpg'를 더블 클릭하면 해당 파일의 위치로 이동한다. 오른쪽 버튼을 클릭해서 내보내기를 통해 파일을 추출한다.
1.3 POS 데이터 흔적
삭제된 파일을 찾아서 조작된 데이터와 원본 데이터를 찾았다.
[이미지 05]에 의하면 조작된 POS데이터만 남기도록 지시했으므로, 삭제된 파일에서 찾은 POS데이터는 원본 데이터이다.
[전체 파일 보기]에서 R_pos이름으로 검색하면 수정된 POS파일을 발견했다.
반응형
'전공영역 공부 기록' 카테고리의 다른 글
| 04. 이미지 데이터의 메타데이터 (0) | 2019.06.24 |
|---|---|
| 03. KFOLT 해시 분석 (2) | 2019.06.24 |
| 01. 디스크 이미징 준비와 디스크 이미징 (0) | 2019.06.24 |
| 00. 디지털포렌식 2급 실기 실습파일 다운로드 (0) | 2019.06.24 |
| 02. KFOLT 시그니처 분석 (0) | 2019.06.24 |