Security_/Forensic15 [Forensic] HPA / DCO 정리?! HPA(Host Protected Area) - ATA(Advanced Technology Attachment)-4 표준에서 추가된 기능 - HDD에 의해 미리 예약된 영역으로 BIOS를 통해 접근할 수 없다. (OS에서 볼 수 없다) 사용처 - 시스템 부팅이나 진단 유틸리티 - CD, DVD 없이 시스템 복구를 위해 - 노트북 보안 유틸리티 저장 - 루트킷을 통한 악의적인 용도 및 데이터 은닉 HPA 명령어 - IDENTIFY DEVICE : 현재 BIOS를 통해 접근 가능한 영역 리턴 - SET MAX ADDRESS(EXT) : BIOS를 통해 접근 가능한 영역 설정 (HPA 생성) - READ NATIVE MAX ADDRESS(EXT) : 실제 디스크 전체 영역을 리턴 DCO(Device Confi.. 2021. 9. 29. [보고서] 증거물 분석 보고서 기재요령 증거분석 보고서 의뢰일시 의뢰장소 의뢰사항 1. 증거 수집, 복구, 분석의 구체적인 방법 및 절차 2. 도촬 관련 흔적 3. 판매관련 흔적 4. 배포 및 유통시도 흔적 5. 기타 범행입증 자료 분석기간 참고사항 - 모든 증거는 재현가능한 분석 과정 및 결과를 화면캡쳐 등으로 상세하게 포함해야 함 - 각각의 증거 분석에 사용한 프로그램 이름과 버전, 구매처(제조사)또는 프로그램 다운로드 경로를 포함하여야 함 - 프로그램 자체를 복사하여 제출 하는 것이 저작권에 위배되지 않는 경우에는 보고서와 함계 프로그램을 복사하여 제출할 수 있으며, 직접 개발 또는 제작한 프로그램은 소스를 포함하여 제출하여야 함 의뢰자 소속 직급 성명 연락처 비고 ㅁ 분석 대상 디지털매체 정보 ㅇ ㅇ ㅁ 수집 및 분석 결과 ㅇ ㅇ ㅁ .. 2021. 9. 27. [보고서] 수집, 분석도구 기재요령 도구명 제조사 버 전 다운로드 경로 해시값(종류) 용도 WinHex X-Ways 18.4.2 http://www.x-ways.net/winhex/ MFT분석 FTK Imager Access Data 3.3.1 http://accessdata.com/productdownload 이미지 생성 Volatility 2.3.1 https:/code.google.com/p/volatility/ 메모리 분석 2021. 9. 16. [Packet Forensic] SSL / TLS 통신 과정 분석 _ HandShake 1. Clinet Hello 접속대상 웹 서버 이름(Server Name) 및 Chiper Suite(클라이언트가 사용가능한 암호화 방식)등 전송 2. Server Hello Server는 Client에서 지원되는 암호화방식(Chiper Suite)을 선택하여 회선 정보는 Clinet Hello와 비슷하다 3. Certificates 인증서를 Client에게 전송 필요에 따라 CA의 Certificate를 함께 전송 Client가 받으면 서버의 인증서가 유효한지 검사 4. Server Key Exchange, Server Hello Done Client에게 Public키를 전송 Server Hello 절차가 완료됨을 알림 5. Client Key Exchage Client는 premaster secret.. 2021. 2. 14. 네트워크마이너(NetworkMiner) 설치하기 네트워크 마이너는 네트워크 포렌식 분석 도구다. 유닉스 환경, 윈도우에서 실행이 가능하다. * 네트워크마이너는 패킷 분석 시 메모리를 많이 차지한다. 실시간 패킷 분석, pcap 패킷 분석을 도와준다. www.netresec.com/index.ashx?page=NetworkMiner NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏ Network Miner is a network forensics tool for analyzing network traffic www.netresec.com 2021. 1. 16. [파일시스템] 필드(Field)?! 레코드(Record)?! 파일(File)?! 정리 파일시스템 부분을 공부하다가 파일은 여러 개의 레코드들로 구성되어 있으며, 레코드는 여러 필드로 구성되어 있다. 라는 글을 읽는데 필드, 레코드에 대해 잘 몰라서 정리를 시작한다..! 자료의 구성 단위의 크기를 정리하면 Bit(비트) - Nibble(니블) - Byte(바이트) - 워드(Word) - 필드(field) - 레코드(Record) - 파일(File) 순서이다. Bit(비트)는 자료 표현의 최소단위로써 0 또는 1이다. Nibble(니블)은 네 개의 비트가 모이면 니블이라 부른다. (4bit) Byte(바이트)는 문자 표현의 최소단위로써 8bit=1byte이다. Word(워드)는 컴퓨터가 한 번에 처리할 수 있는 명령 단위로, 운영체제에 따라 1 Word가 달라진다. Field(필드)는 파일 .. 2020. 8. 22. [파일시스템] BLOB?! Binary Large Object! 블랍 [위키백과] 바이너리 라지 오브젝트 바이너리 라지 오브젝트 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. 바이너리 라지 오브젝트(Binary large object, BLOB)는 데이터베이스 관리 시스템의 하나의 엔티티로서 저장되는 이진 데이터의 모임이다. BLOB은 일반적으로 그림, 오� ko.wikipedia.org 바이너리 라지 오브젝트(Binary Large Object)는 데이터베이스 관리 시스템의 하나의 엔티티로서 저장되는 이진 데이트의 모임 일반적으로 그림,오디오, 또는 기타 멀티미디어 오브젝트인 것이 보통이지만, 바이너리 실행 코드가 BLOB으로 저장되기도 한다. 자료형과 정의는 전통적인 컴퓨터 데이터베이스 시스템에 본래 정의되지 않은 데이터를 기술하기 위해 돋입되었.. 2020. 8. 22. [Forensic] Linux의 특징 Linux는 1991년 리누스 토발즈(Linux Torvalds)가 UNIX를 PC에서도 작동할 수 있게 만든 운영체제이다. 인터넷을 통해 프로그램의 소스 코드를 무료로 공개하여 사용자가 원하는 대로 특정 기능을 추가할 수 있다. 우리나라에서는 1999년부터 Linux 사용자가 늘어나게 되었고 Harmonikr 프로젝트처럼 한국인을 위한 Linux도 개발이 되고 있다. 배포판의 종류들에는 슬랙웨어, 레드햇(Redhat), 데비안(Debian), 오픈 Linux, 맨드레이크, 페도라(Fedora), 우분투(Ubuntu) 등이 있다. 스마트폰에 있는 안드로이드도 Linux 기반으로 만들어져 있다. Linux의 특징 1. 오픈소스 운영체제 - 운영체제의 핵심인 커널뿐만 아니라, 같이 내장되어 있는 프로그램도 .. 2020. 8. 15. [Forensic] 파일시스템의 논리적인 구조 (디렉토리 구조) 논리적 구조에는 다음과 같이 4개가 있다. 1. 평면 디렉터리 구조 - 하나의 디렉토리만이 존재하고 모든 파일들을 하나의 디렉터리에 저장하는 구조 - 단일 사용자의 경우 시스템 파일들과 사용자의 파일을 하나의 디렉터리에 넣게 된다. - 다중 사용자의 경우 여러 사용자 파일들이 모두 디렉토리에 존재하기 때문에 더 큰 문제가 된다. - 여러 사용자가 있어도 같은 이름의 파일은 쓸 수 없다. - 논리적인 그룹핑이 어렵다. 2. 2단계 디렉토리 구조 - 사용자별로 자신만의 파일 디렉터리를 가지고 있는 구조 - 사용자가 다르다면 같은 이름의 파일을 가질 수 있다. - 각 사용자들은 자신에게 배정된 디렉토리에 자신의 파일들을 저장할 수 있다. - 논리적인 그룹핑이 어렵다. - 다른 사용자에게 파일 공유가 불가능하다.. 2020. 8. 6. [Forensic] 성완종 리스트 관련 우선 성완종 리스트 사건에 대해 알아보기 전에 성완종에 대해서 알아보자. 위키백과에 따르면 성완종(1951년 8월 20일 ~ 2015년 4월 9일)은 대한민국의 기업인, 정치인이다. 성완종 전 경남기업 회장이 구속 전 실종되었고 북한산 형제봉 인근에서 숨진 채 발견이 되었다. 자살 직전 경향신문과 50분 정도 통화를 했고 전, 현직 청와대 비서실장 등 현 정부 실세에게 금품을 제공했다고 폭로를 했다. 검찰이 조사를 해보니 유품에서 사람 이름과 돈 액수가 적힌 메모가 발견되었다. 이후 검찰의 수사팀은 경남기업 본사 등과 이름이 적힌 사람들에 대하여 압수수색을 진행하였으며 포렌식 기술을 동원하여 이번 의혹과 관련 있는 문서들을 복원했다고 전해진다. 이상진 한국 디지털 포렌식 학회장 "디지털 포렌식은 암호가 .. 2020. 7. 4. [Forensic] 세월호 카카오톡 복구 세월호 침몰 사고는 2014년 4월 16일 오전 8시 50분경 대한민국 전라남도에서 세월호가 전복되어 침몰한 사고이다. 이 사고로 탑승자 476명(잠정)중 172며이 구조되고 304명이 사망, 실종되었다. 이 사고의 생존율은 36.1%로 매우 저조했다. 세월호 선조위(선체조사위원회) 등에 따르면 모바일 포렌식 전문업체 모바일랩은 세월호에서 나온 휴대전화 수십대를 선조위로 부터 전달받았다. 참사 직후 며칠 만에 인양된 휴대전화의 데이터 복구율은 50%를 넘었으나 오랬동안 잠겨 있던 기기는 복구율이 매우 낮았다. 포렌식 보고서에는 사진, 영상, 음성 등 미디어 파일과 문자메시지, 통화목록등이 있었다. 그래도 3년이나 바닷물에 잠겨 있던 기기의 데이터를 복구하는 데 성공한 것은 매우 이례적인 일이였다. 복구한.. 2020. 6. 1. [Forensic] 원세훈 자택 화염병 투척사건 정리 원세훈 그는 누구인가?- [2009~2013] 이명박정권 시절 국가정보원의 원장 - 뇌물수수와 여론조작 지시, 지휘 등의 범죄 혐의로 인하여 2013년 불구속 기소- 불법 정치관여 및 선거개입 지시를 했다.- 오늘의 유머, 뽑뿌, 보배드림 이외에 네이버, 다음, 네이트 등 포털, 일간베스트저장소, 디시인사이드 등 여러 사이트에서 활동이 확인되었다. [위키백과] 원세훈[위키백과] 국가정보원 여론 조작 사건 2013년 5월 5일 원세훈 자택에 누군가 화염병을 던졌다. 그 범인을 잡기위해 경찰은 CCTV를 분석하여 2주만에 한 회사원을 긴급체포를 했다. 하지만 낮은 화질로 인해 범인의 얼굴 식별은 되지 않아 경찰은 걸음걸이 기법을 제시하여 구속영장을 발부했다. [중앙일보] 지문도, 얼굴도 없는 살인범... 걸.. 2020. 5. 31. [Forensic] Foresic? Digtal Forensic? 포렌식이란? [Forensic] Forensic?- 고대 로마시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래- 법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한 이라는 의미를 가지고 있는 형용사다.- 즉, 과학 수사 라고 생각하면 된다. (범죄현장에 남은 지문이나 DNA 등을 분석하는것도 포함) Digital Forensic?- 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업- 디지털 증거물을 분석하여 수사에 활용하는 과학수사 기법의 총칭. - 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법- 즉, 디지털 기기에서 발생한 것들을 밝혀 내는 것이다.- 최근에는 내부감사를 위해 Digital.. 2020. 5. 31. [OS] 파일 시스템(File System)이란? [File System] #2019.07.29 파일 시스템 - 컴퓨터에서 파일이나 자료를 쉽게 발견 할 수 있도록, 유지, 관리하는 방법이다.즉, 저장매체에는 많은 파일이 있으므로, 이러한 파일을 관리하는 방법을 말한다. - 사용자 영역이 아닌 커널 영역에서 동작- 파일을 빠르게 읽기, 쓰기, 삭제 등 기본적인 기능을 원활히 수행하기 위한 목적 파일 시스템 특징- 계층적 디렉터리 구조를 가진다.- 디스크 파티션 별로 하나씩 둘 수 있다. 파일 시스템의 역할- 파일관리 : 파일 저장, 참조, 공유- 보조 저장소 관리 : 저장 공간 할당- 파일 무결성 메커니즘 : 파일이 의도한 정보만 포함하고 있음을 의미- 접근 방법 : 저장된 데이터에 접근할 수 있는 방법 제공 파일 시스템 개발 목적- HDD와 메인 메모.. 2019. 7. 29. [Forensic] 포렌식 공부순서 [Forensic] #2019.07.29 AlpineLab 박상호 대표님의 강연을 듣고... 공부 순서 1. 프로그램 언어 - 파일 시스템 - 네트워크*파일 시스템(File System)이란? 2. 아티팩트 - 파일분석 - 파일포맷- 아티팩트 : Windows, Linux, MAC- 파일포맷의 경우 문서, 이미지, 실행파일을 위주로 공부 3. 물리장비 - 로그분석 - 해킹공격- 해킹공격의 경우 워게임으로 비교하면, webhacking.kr(올클리어), pwnable.kr(2단계 클리어), reversing.kr(5문제) 풀정도로 공부하면 된다. 2019. 7. 29. 이전 1 다음
