사용 도구 : Sleuthkit, Regripper
국가정보원 통계에 따르면, 국내 발생하는 산업기술유출 사고중 80%가 전, 현직 임직원에 의해 발생하고 있다. 특히 의도적인 인력 흡수를 통해 핵심정보가 유출되는 경우가 많으며, 내부자에 의해 USB, 하드디스크 등 각종 저장매체를 통해 기술유출 하는 사례가 증가하고 있어 기술유출 사고조사 시 USB 흔적 조사는 필수적이다.
해당 PC에 연결된 USB 흔적을 파악하기 위해서 SYSTEM 하이브 파을을 채증해야 한다.
SYSTEM 하이브 파일을 채증하기 위해서는 Sleuthkit 도구 fls 기능을 이용하여 하이브 파일 경로를 찾아 들어간다.
하이브 파일의 경로는 C:\windows\system32\config 이다.
SYSTEM 하이브파일을 채증 하기 위해서 Sleuthkit도구의 icat 기능을 이용하여 하이브 파일을 추출 한다.
(icat \\.\c: 시리얼번호)
Sleuthkit을 이용하여 SYSTEM 하이브 파일을 채증 하였으면, RegRipper 도구를 이용하여 분석을 한다.
(c\RegRipper 저장 위치\rip.exe -r system 하이브파일 저장 위치\ -p usbstor)
RegRipper 도구를 이용하여 분석한 결과 해당 PC에 연결된 USB 저장매체는 1개 인걸로 확인 되었다.
레지스트리를 통하여 USB흔적(시리얼 번호)정보를 확인 할 수 있으나, Sleuthkit도구를 통하여 USB흔적(최초 연결한 정보, 마지막 연결한 정보, 시리얼 번호)정보를 확인 할 수 있다.
'디지털포렌식' 카테고리의 다른 글
| 디지털포렌식_스테가노그래피 복원 (0) | 2018.04.28 |
|---|---|
| 디지털포렌식_웹 브라우저(Internet Explore) 사용 흔적 분석 (0) | 2018.04.26 |
| 디지털포렌식_FAT파일시스템 파티션복구 (0) | 2017.08.21 |
| 디지털포렌식_디지털포렌식의 정의 (0) | 2017.08.17 |
