$UsnJnrl을 통한 Google Drive 분석

Slides:



Advertisements
Similar presentations
Avaya one-X & SBM2401A Button Module : KOREAN Update Manual (96xx IP Phone)
Advertisements

- 1 - 사용설명서 – 전자세금계산서 (EBANK36524) [ 회계 ] ERPM3 에서 입력한 매출세금계산서 ( 계산서 포함 ) 를 전자적으로 발행합니다. ( 전자세금계산서발행 메뉴 ) ** 국세청전송 년 11 월 1 일부터 시범운영.
RefWorks RefWorks 주요기능 참고문헌 수집과 관리 - 레퍼런스 ( 저널논문, 단행본 등의 서지정보 ) 를 온라인상에서 관리 - 국내외 학술 DB 에서 검색한 레퍼런스를 자동 저장 - 주제별 폴더를 생성하여 레퍼런스를.
넷하드 에서 설정 할 기능 1. Web Menu 에서 미디어 서버를 선택 후 사용함 을 선택 합니다. 2. 미디어 서버는 넷하드에 저장된 멀티미디어 컨텐츠를 TV, 스마트폰 등에서 감상할 수 있도록 해줍니다. 3. 기본으로 Service/DLNA 폴더가 선택되어 있고 추가로.
지도교수 : 박진식 교수님 조 원 : 홍승기, 이병용, 백승준, 조근용, 조동현, 한정협, 이상하.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
데이터 파일 열기 데이터 편집기 상에서 새로운 데이터 파일을 만들거나, 혹은 기존의 파일을 불러올 수 있음.
윈포스 설치 매뉴얼 포스소프트 전화 : 053) 팩스 : 053)
메모장 다루기 A. 메모장 실행법 시작>모든 프로그램> 보조 프로그램>메모장 Notepad
업무용 PC시스템 통합복구관리솔루션 “Reparo™ WidePro”.
공부할 내용 조상들이 살던 곳 자연과 잘 어울리는 한옥 지방에 따라 서로 다른 집의 모양 섬 지방의 집
사랑, 데이트와 성적 자율성 :데이트 성폭력!!! 성폭력예방교육 전문강사 / 여성학 전공 신 순 옥.
06장. <A> 태그로 하이퍼링크 설정하기
제16회 교육과학기술부 공무원 정보화능력 경진대회 안내 및 유의사항.
3 장 인터넷 서비스.
PC 개인정보 보호시스템 교육 (기관 · 학교관리자)
사용자 매뉴얼 - 협력업체용 -.
넷하드 에서 설정 할 기능 1. Web Menu 에서 미디어 서버를 선택 후 사용함 을 선택 합니다.
퇴계와 율곡의 사회사상 비교 남 일 재 동서대학교 교수/ 정치학 박사 1. 퇴계 이황과 율곡 이이의 약전(略傳)
Asymmetric Link 분석.
보안 시스템 정보 보안 개론 10장.
제 5 장 특별한 용도로 사용될 특수 기능.
Qman QMan QMan 이란? QMan은 문제등록 및 관리하는 프로그램으로 문제분류별 관리, 문제입력, 문항분석, 동영상, 이미지, 음성, 수식입력, 일괄입력 기능, 오류문제 수정 기능 등을 이용하여 편리하게 문제은행을 구축할 수 있습니다.
501. 군인들의 세상 502. 민정 이양과 한일회담 이선용.
삼성전자 사외업무지원시스템 사용자 매뉴얼 v4.1.
NetBIOS 크래킹 7조 최효림/한종민/김재경.
V3IS7.0 기능소개.
Young Jun, Son Partner Account Manager
정보처리개론 Ⅲ. 윈도우 XP.
DPC 1190 FS Scan & FAX Manual.
2007. Database Term Project Team 2 윤형석, 김희용, 최현대 우경남, 이상제
1 C 언어의 이해와 컴파일러 설치 프로그래밍 환경을 구축하자!.
공인인증서 등록대행업무 교육 안녕하세요. 한국무역정보통신 공인인증센터 입니다.
홍익대학교 메일 시스템 구축 주소록 이전하기.
호스팅 서비스 보안 및 백업 가이드 라인 ver 1.0 한국 호스팅 도메인 협회
액티브포스트 G-Suite v3.6 일반사용자 사용설명서
T-1 Internet Card 제품 제안서.
Microsoft Office Specialist
DataBase 연결 및 사용방법
1 2 계속 생산해역등급관리 엑셀업로드 가이드 1. 생산해역등급관리 – 위생자료결과관리(해수)
내 PC 폰트 점검기 Font SW Inspector 사용자 매뉴얼 v1.2.
제 9장: 파일과 데이터베이스 데이터 구성에서부터 데이터 채굴 까지.
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
CniMail 메일 클라이언트 조재영 지승우.
Voucher Platform Manual
중앙대 원격교육원 범용공인인증서 홈페이지 등록 방법 .
Part 04-3 Windows 2000 Server IIS Outlook Express 도메인 사용 관리자
전자상거래보안 전자우편보안 ( Security) 중부대학교 정보보호학과 이병천 교수
메일캐리어 제품 소개서 탭스랩주식회사.
개인정보처리와 개인정보보호 2017년 2월.
Copyright ⓒ iParadigms LLC 2014
MAIL CLIENT 김창우 윤성훈 이경재.
정치개혁의 가능성 논의 권력구조 개편을 통하여 본 -개헌을 통한 정부형태의 변화를 중심으로 [한국정치론] 윤성이 교수님
프로젝트 명칭 학생 이름 | 담당 교사 이름 | 학교
Ⅶ. 명함관리 1. 초기 화면 설명 2. 명함 분류 관리 3. 명함 이동,공유,복사 4. 명함 등록, 수정 5. 상세검색 6.
반드시 상품마다 1부씩 본 서류를 작성하시기 바랍니다.
노년기 발달 장안대 행정법률과 세류반 정 오 손
아이폰/아이패드 사내메일 수신 설정하기 1. [설정] > 'Mail,연락처,캘린더' > '계정추가'를 선택합니다.
Microsoft Office Specialist
태국 문학 욜라다 왓짜니 싸란차나 팟차라와라이 끼따야펀 르앙다우 타니다.
과목명 : 산업보안사례 담당교수 : 김동련 교수님 발표일 : 학번 : 이름 : 권이슬
최종 사용자 관점의 웹 서비스 성능 관리 SmartSQM Agentless 실시간 전구간 성능 모니터링
경인교육대학교 Windows 10 무료 업그레이드 안내.
스마트폰을 통한 메일서비스 이용방법 (안드로이드폰)
OPENGL project 구성원 : 김수민,남현우 OPENGL을 이용한 당구(3구) 구현하기.
대한민국-스웨덴 수교 60주년 기념 행사 주 스웨덴 대한민국 대사관 (토)
협력업체 전자입찰 매뉴얼 외주 업체용.
청소년 댄스 경연대회 제35회 문화체육관광부장관大賞 전국레크리에이션대회
워밍업 실뭉치 전달게임.
음파성명학 최종욱.
Presentation transcript:

$UsnJnrl을 통한 Google Drive 분석 추가조사 $UsnJnrl을 통한 Google Drive 분석

Google Drive?

폴더 형태로 PC에 존재 자동으로 클라우드 동기화

$UsnJnrl 이용하여 분석해 보자.

설치 계정정보를 .txt문서로 저장시킴 재부팅시 다시 로그인 하지 않아도 되기 위해서 하는 것으로 추정

설치 Google Sheets.lnk, Google Slides.lnk, Google Docs.lnk Google Drive.lnk 등의 바로가기 링크파일이 생성됨

설치 Google Drive가 생성 된 후 snapshot.db-wal ,sync_log.log 등의 부수적인 파일이 생성

$UsnJnrl 분석을 통해서 알아 보고 싶은 것 동기화가 주기적으로 일어나는가? - 일어난다면 주기는 몇 인가? 파일 업로드시 동기화 때 Usn Jornal을 통해서 확인 할 수 있을까? - 확인할 수 있다면 주기적으로 일어나는 동기화와 같은 형태 인가?

*모든 실습은 깨끗한 win7에서 일어 났으며, Folder -2 .bak – 1 .zip – 1 .exe -1 최소한의 프로세스만을 실행 하였음. Folder -2 .bak – 1 .zip – 1 .exe -1 .jpg – 1 .hwp – 1 .mp3 – 1 .wmv -1

Google Drive Folder1(backupfile.bak, zipfile.zip 포함)을 Google Drieve에 복사 Google Drive에 파일이 옮겨 진 후 많은 임시 파일이 생성됨

Google Drive snapshot.db-wal, dict_2.db-wal 이 Extend 됨 동기화가 되었다고 추정

Google Drive Wildlife.wnv를 Google Drive로 복사 임시파일들이 계속 생겼지만 확실치 않음

Google Drive

설치 여러가지 파일을 통하여 실험해 보니 임시 파일이 많이 생겼다.

임시 파일이 동기화에 필요 한가?

Google Drive Googledrivesync.exe를 종료 후 Usn Journal 확인 결과 임시파일이 생기지 않았다.

Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김

Google Drive 파일 이동 후 많은 경우에 thumbcache 형태의 데이터 베이스가 생김

Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인

Google Drive Thumbcache를 확인 한 결과 썸네일임을 확인

Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨

Google Drive 파일 복사 후에 snapshot.db 형식이 파일이 자주 생성 됨

snapshot.db 는 무엇일까?

SQLite Manager

snapshot.db

snapshot.db

sync_config.db

Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장 결론 Google Drive 임시파일을 통하여 동기화를 함 thumbcache : 썸네일 저장 sync_config.db : 계정 정보 및 동기화 폴더 표시 snapshot.db : 동기화된 파일 및 폴더의 목록

참고 미주누나 분석

1. Introduce Introduce Outlook 서비스를 이용한 파일 유출에 대한 로컬 흔적 분석 Environmental 본 보고서는 다음과 같은 환경을 기반으로 작성되었다. 환경 Windows7 32bit Microsoft Office 2010 도구 Regripper 2.2 Microsoft Excel 2010 Log2timeline ANJP 3.11 Intalla

1. Introduce 파일 유출 시간 근거

USB 흔적 찾기 해당 사항 없음 USB 접속 시간이 맞지 않아 USB로 인한 유출 가능성은 낮음

2. Log2Timelien 기반 분석

2. Log2Timelien 기반 분석 <2015-03-23T13:55:06 Outlook Express>

2. Log2Timelien 기반 분석 2015-03-23T13:55:06.394632+09:00 Content Modification Time [\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000003] Account Name: [REG_BINARY] Delivery Folder EntryID: [REG_BINARY] Delivery Store EntryID: [REG_BINARY] Display Name: [REG_BINARY] Email: [REG_BINARY] Leave on Server: [REG_DWORD_LE] 917507 Mini UID: [REG_DWORD_LE] 26533688 POP3 Port: [REG_DWORD_LE] 995 POP3 Server: [REG_BINARY] POP3 Use SSL: [REG_DWORD_LE] 1 POP3 User: [REG_BINARY] Preferences UID: [REG_BINARY] SMTP Port: [REG_DWORD_LE] 465 SMTP Secure Connection: [REG_DWORD_LE] 1 SMTP Server: [REG_BINARY] SMTP Use Auth: [REG_DWORD_LE] 1 SMTP Use SSL: [REG_DWORD_LE] 1 clsid: [REG_SZ] {ED475411-B0D6-11D2-8C3B-00104B2A6676 => 연결에 대한 변경 레지스트리 값

3. .pst 파일 분석

3. .pst 파일 분석 Link to original format zzz.eml Title zzz Source e102982@naver.com.pst Location / ID aperture://1?/10/MD5-51-86ab7bc11d6831b91e23c8e6a66cd745 Type message/rfc822 Message Hash 22d99966e8fd779cfef5553cd55956e4 Content created Mar 23, 2015 13:55:05 Content last modified Mar 23, 2015 13:53:40 Sent Received Mar 23, 2015 13:55:00 To, Cc, Bcc jmj-82@hanmail.net

3. .pst 파일 분석 Link to original format 원본 다.._.eml Title 원본 다... Source e102982@naver.com.pst Location 최상위 Outlook 데이터 파일/보낸 편지함/ ID aperture://1?/1/3/2 Type message/rfc822 Message Hash c57e01ea0bee82a989a842ca6881255b Content created Mar 23, 2015 13:56:13 Content last modified Sent Mar 23, 2015 13:56:45 Received Mar 23, 2015 13:56:00 From 조미주 To, Cc, Bcc jmj-82@hanmail.net

3. .pst 파일 분석 .pst 파일이란? Outlook Express의 백업용 파일 C:\Users\personal_test\Documents\Outlook 파일\ 파일 분석에서 .pst 파일이 2개 생성됨을 확인 -> 메일 2통 송신 확인

3. .pst 파일 분석 1. 의뢰자로부터 제공 된 정보를 토대로 유출 된 파일의 이름과 형식을 인지 3. 파일 형식 xls 4. 파일 이름 중 ‘수산물, 내역서, 구치소’의 단어가 들어간 내용 검색 5. 아웃룩을 통해 파일을 송신했으므로 보낸 편지함 확인 6. 보낸 편지함의 수신 주소 정보 획득 7. 취득 된 정보를 바탕으로 확인 과정을 거쳐 최종적으로 선정 된 메일 주소 확인 8. 메일 주소를 바탕으로 송신 된 메일 검색 9. 유출 정보 확인

4. USN에 따른 분석 <file 정보> <MFT> <UsnJurl>

4. USN에 따른 분석 웹 업로드 시간 7초 업로드를 위해 Windows\Temporary Internet Files\Content_Outlook \CVXIN8U\안에 생성된 파일이 업로드 완료 시 7초 후 삭제

Q & A

Thank you