$UsnJnrl을 통한 Google Drive 분석

Presentation on theme: "$UsnJnrl을 통한 Google Drive 분석"— Presentation transcript:

1 $UsnJnrl을 통한 Google Drive 분석
추가조사 $UsnJnrl을 통한 Google Drive 분석

2 Google Drive?

3 폴더 형태로 PC에 존재 자동으로 클라우드 동기화

4 $UsnJnrl 이용하여 분석해 보자.

5 설치 계정정보를 .txt문서로 저장시킴 재부팅시 다시 로그인 하지 않아도 되기 위해서 하는 것으로 추정

6 설치 Google Sheets.lnk, Google Slides.lnk, Google Docs.lnk
Google Drive.lnk 등의 바로가기 링크파일이 생성됨

7 설치 Google Drive가 생성 된 후 snapshot.db-wal ,sync_log.log 등의 부수적인 파일이 생성

8 $UsnJnrl 분석을 통해서 알아 보고 싶은 것
동기화가 주기적으로 일어나는가? - 일어난다면 주기는 몇 인가? 파일 업로드시 동기화 때 Usn Jornal을 통해서 확인 할 수 있을까? - 확인할 수 있다면 주기적으로 일어나는 동기화와 같은 형태 인가?

9 *모든 실습은 깨끗한 win7에서 일어 났으며, Folder -2 .bak – 1 .zip – 1 .exe -1
최소한의 프로세스만을 실행 하였음. Folder bak – 1 .zip – exe -1 .jpg – 1 .hwp – 1 .mp3 – wmv -1

10 Google Drive Folder1(backupfile.bak, zipfile.zip 포함)을 Google Drieve에 복사 Google Drive에 파일이 옮겨 진 후 많은 임시 파일이 생성됨

11 Google Drive snapshot.db-wal, dict_2.db-wal 이 Extend 됨 동기화가 되었다고 추정

12 Google Drive Wildlife.wnv를 Google Drive로 복사 임시파일들이 계속 생겼지만 확실치 않음

13 Google Drive

14 설치 여러가지 파일을 통하여 실험해 보니 임시 파일이 많이 생겼다.

15 임시 파일이 동기화에 필요 한가?

16 Google Drive Googledrivesync.exe를 종료 후 Usn Journal 확인 결과 임시파일이 생기지 않았다.

17 Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김

18 Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김

19 Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인

20 Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인

21 Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨

22 Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨

23 snapshot.db 는 무엇일까?

24 SQLite Manager

25 snapshot.db

26 snapshot.db

27 sync_config.db

28 Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장
결론 Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장 sync_config.db : 계정 정보 및 동기화 폴더 표시 snapshot.db : 동기화된 파일 및 폴더의 목록

29 참고 미주누나 분석

30 1. Introduce Introduce Outlook 서비스를 이용한 파일 유출에 대한 로컬 흔적 분석
Environmental 본 보고서는 다음과 같은 환경을 기반으로 작성되었다. 환경 Windows7 32bit Microsoft Office 2010 도구 Regripper 2.2 Microsoft Excel 2010 Log2timeline ANJP 3.11 Intalla

31 1. Introduce 파일 유출 시간 근거

32 USB 흔적 찾기 해당 사항 없음 USB 접속 시간이 맞지 않아 USB로 인한 유출 가능성은 낮음

33 2. Log2Timelien 기반 분석

34 2. Log2Timelien 기반 분석 < T13:55:06 Outlook Express>

35 2. Log2Timelien 기반 분석 T13:55: :00 Content Modification Time [\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF d3B88A00104B2A6676\ ] Account Name: [REG_BINARY] Delivery Folder EntryID: [REG_BINARY] Delivery Store EntryID: [REG_BINARY] Display Name: [REG_BINARY] [REG_BINARY] Leave on Server: [REG_DWORD_LE] Mini UID: [REG_DWORD_LE] POP3 Port: [REG_DWORD_LE] 995 POP3 Server: [REG_BINARY] POP3 Use SSL: [REG_DWORD_LE] 1 POP3 User: [REG_BINARY] Preferences UID: [REG_BINARY] SMTP Port: [REG_DWORD_LE] 465 SMTP Secure Connection: [REG_DWORD_LE] 1 SMTP Server: [REG_BINARY] SMTP Use Auth: [REG_DWORD_LE] 1 SMTP Use SSL: [REG_DWORD_LE] 1 clsid: [REG_SZ] {ED B0D6-11D2-8C3B-00104B2A6676 => 연결에 대한 변경 레지스트리 값

36 3. .pst 파일 분석

37 3. .pst 파일 분석 Link to original format zzz.eml Title zzz Source
Location / ID aperture://1?/10/MD ab7bc11d6831b91e23c8e6a66cd745 Type message/rfc822 Message Hash 22d99966e8fd779cfef5553cd55956e4 Content created Mar 23, :55:05 Content last modified Mar 23, :53:40 Sent Received Mar 23, :55:00 To, Cc, Bcc

38 3. .pst 파일 분석 Link to original format 원본 다.._.eml Title 원본 다... Source
Location 최상위 Outlook 데이터 파일/보낸 편지함/ ID aperture://1?/1/3/2 Type message/rfc822 Message Hash c57e01ea0bee82a989a842ca b Content created Mar 23, :56:13 Content last modified Sent Mar 23, :56:45 Received Mar 23, :56:00 From 조미주 To, Cc, Bcc

39 3. .pst 파일 분석 .pst 파일이란? Outlook Express의 백업용 파일
C:\Users\personal_test\Documents\Outlook 파일\ 파일 분석에서 .pst 파일이 2개 생성됨을 확인 -> 메일 2통 송신 확인

40 3. .pst 파일 분석 1. 의뢰자로부터 제공 된 정보를 토대로 유출 된 파일의 이름과 형식을 인지
3. 파일 형식 xls 4. 파일 이름 중 ‘수산물, 내역서, 구치소’의 단어가 들어간 내용 검색 5. 아웃룩을 통해 파일을 송신했으므로 보낸 편지함 확인 6. 보낸 편지함의 수신 주소 정보 획득 7. 취득 된 정보를 바탕으로 확인 과정을 거쳐 최종적으로 선정 된 메일 주소 확인 8. 메일 주소를 바탕으로 송신 된 메일 검색 9. 유출 정보 확인

41 4. USN에 따른 분석 <file 정보> <MFT> <UsnJurl>

42 4. USN에 따른 분석 웹 업로드 시간 7초 업로드를 위해 Windows\Temporary Internet Files\Content_Outlook \CVXIN8U\안에 생성된 파일이 업로드 완료 시 7초 후 삭제

43 Q & A

44 Thank you