파일 행위 분석-다운로드받은파일-Zone.Identifier

다운로드 받은 파일 조회

 

각 파일의 Zone.Identifier 값으로 다운로드 여부를 판단하며 Zone.Identifier 값이 3이면 인터넷으로부터 다운로드된 파일이라 할 수 있다.

Zone.Identifier는 ADS의 일종으로 아래와 같은 값을 가진다.

Zone ID 값

1 - 로컬 인트라넷

2 - 신뢰할 수 있는 사이트(URLZONE_TRUSTED)

3 - 인터넷

4 - 제한된 사이트(URLZONE_UNTRUSTED)

 

분석
ADSIdentifier Tool

Windows-based command-line application that identifies, and optionally removes, NTFS Alternate Data Streams.

F:\tool\forensic>ADSIdentifier.exe /folder:f:\

Dir Command

F:\tool\forensic>dir f: /S /R | findstr /i /c:":$D" |findstr /i /c:"Zone.Identifier"

Powershell

PS F:\tool\forensic> get-ChildItem f:\* -Recurse -ErrorAction SilentlyContinue | get-item -Stream Zone*

다운받은 파일을 어디서 다운받았는지 출처 확인

네이버에서 "한글양면인쇄.pdf" 파일을 다운받은 후 아래 명령어로 확인

C:\temp>more < 한글양면인쇄.pdf:Zone.Identifier

[ZoneTransfer]

ZoneId=2  <- ZoneID가 3이 아닌 2이네. 추가 혹인이 필요해 보임

ReferrerUrl=https://cloud.naver.com/

HostUrl=https://files.cloud.naver.com/file/download.api?resourceKey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX