2021 PIDICON을 준비하면서 개인정보 가명처리에 대해 공부하였다. 다음과 같이 내용을 정리해본다. 개인정보 - 살아있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보 가) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 가명정보 - 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보 익명정보 - 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 어떠한 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보 식별자 - 전체 또는 특정 인구 집단 내에서 개인을 고유하게 구별하기 위해 부여한 기..

메모리 포렌식 개요 메모리에는 프로세스가 사용한 데이터, 네트워크 정보 등 하드 디스크에서 찾을 수 없는 흔적이나 휘발성 데이터를 분석하여 악의적인 행동을 조사하고 식별한다. 1. 메모리 포렌식 - 메모리 포렌식은 메모리(RAM)의 존재하는 휘발성 데이터를 덤프하여 분석하는 것을 의미한다. * 휘발성 데이터란? - 전원 공급이 끊기거나 시간 흐름에 따라 저장공간에서 사라지는 데이터를 의미 2. 메모리 덤프 - 메모리 덤프는 특정 순간에서 컴퓨터 메모리 데이터의 스냅 샷 캡쳐 파일이다. 메모리 분석 시 무결성을 위해서 가장 순수한(변조되지 않은) 메모리 덤프 파일을 얻어야 한다. 덤프 파일을 얻기 위해 다음과 같은 방법들이 있다. 하드웨어 - PCI 장치 - FireWire 장치 소프트웨어 - DD - K..

이어서 문제를 풀어보도록 하자. 16. List all search keywords using web browsers (Timestamp, URL, keyword...) - 웹 브라우저를 사용하여 모든 검색 키워드를 나열하라. (타임스탬프, URL, 키워드...) > WEFA 프로그램으로 분석을 진행하면 된다. 하지만 현재 어떤 이유에서인지 수집 후 분석을 진행하면 프로그램이 종료가 된다. (이유를 아시거나 다른 방법을 아시는 분은 알려주시면 감사하겠습니다!) 17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword) - 윈도우 탐색기의 검색 표시줄에 모든 사용자 키워드를 나열하라. (타임스탬프, 키워드) >..

시나리오를 다 읽고 이해했으면 문제를 풀어보도록 하자. 분석 대상은 표에 나와있듯이 총 4가지이다. (PC, RM#1, RM#2, RM#3) 어떤 이미지를 다운 받아 분석하는 것은 본인의 자유인 것 같다. 1. What are the hash values (MD5 & SHA-1) of all Images? Does the acquisition and verification hash value match? - 모든 이미지의 해시 값(MD5 & SHA-1)은 무엇인가? 획득 및 검증 해시 값이 일치한가? > FTK Imager 을 실행하여 [File] - [Add Evidence item...] 을 클릭하여 이미지를 불러온다. 검증할 이미지에 우클릭을 눌러 [Verify drive/image] 이미지 해시를..

제 16회 디지털 포렌식 전문가 2급을 필/실기 모두 합격했다...! 필기부터 실기까지 올해 3월부터 시작해서 준비했다. 코로나 때문에 공부하고 준비하기 좀 힘들었던 것 같았다. 물론 다른 시험들도 마찬가지 일 것 같다...ㅠ 시험을 준비하면서 합격할 수 있는 방법(?)이나 팁보다는 책이나 참고한 블로그들을 추천하려고 한다. 저마다 공부하는 방법은 다 다르다고 생각하기 때문에...ㅎㅎ 아래 책이나 블로그들은 정말 도움 많이 받으면서 공부했다. (포렌식 공부에 도움주시는 블로거님들 항상 존경합니다.) [필기] [실기] 1. bitnang님의 블로그 - https://blog.naver.com/bitnang +) bitnang님의 포렌식 연습실 - https://www.notion.so/bitnang/2-6..

포렌식을 공부하다보면 포렌식에 대한 여러가지 챌린지, 대회도 있는데 어떤 공부를 하고 대회 준비를 해야할 지 막막하다. 이런 고민을 할때 적합한 문제 풀이로는 아래 링크에서 문제를 다운받아 풀어보는 것을 추천한다. 포렌식에 대한 기초적인 지식들을 실습을 통해 접근할 수 있다. https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html ※ 파일명을 클릭하고 다운을 받으려면 페이지로 넘어가는데 이것은 파일 내용이 웹 브라우저에서 보이는 것이다. 따라서 Window PowerShell 을 이용하여 다운 받도록 하자 ex) Invoke-WebRequest -Uri "다운받을 URL 주소" -Outfile "저장할 파일 위치" PS. 리눅스는 wge..

포렌식에서의 파일 시그니처란 매우 중요한 개념이다. CTF 문제들을 접하면서 공부했지만 복습하는겸 글을 작성해본다. 일반적으로 파일들을 구분할 때 확장자로 구분한다. 예를 들어서 그림 파일은 PNG, JPG, GIF 등이 있을 것이다. 하지만 확장자로 모든 파일들을 식별할 수 없다. 파일을 식별하는 것은 파일의 고유 포맷을 담고있는 시그니처를 통해서 식별한다. 자세한 설명과 많은 파일 시그니처를 보고 싶다면 아래 사이트에서 확인해보고 실습하며 공부하는 것도 좋다. http://forensic-proof.com/archives/300 파일 시그니처는 처음과 마지막에 존재하며 각각 헤더 시그니처, 푸터 시그니처라고 칭한다. 아래는 이미지 파일을 HxD 프로그램으로 열어서 확인한 모습이다. 시그니처가 손상되면..

※ 디지털 포렌식 2급을 준비하던 중 자주 나오는 것, 헷갈리는 것들 정리해봅니다. 문제가 될 시 삭제하겠습니다. 1. 디지털 포렌식 개론 1) 디지털 포렌식의 일반 원칙 - 정당성 : 입수 증거가 적법절차를 거쳐 얻어져야 함 - 재현 : 같은 조건에서 항상 같은 결과가 나와야 함 - 신속성 : 전 과정은 신속하게 진행되어야 함 - 연계보관성 : 증거물 획득 과정에서 담당자 및 책임자를 명확히 해야 함 - 무결성 : 수집 증거가 위 ˙ 변조되지 않았음을 증명 2) 디지털 포렌식의 기본 원칙 - 적법절차 준수 - 원본 x, 사본을 통해서 증거 분석 진행 - 압수˙수색 과정에서 관계자 또는 입회인을 모든 과정에 참석 - 원본증거 보전 및 무결성 확보 - 분석방법의 신뢰성 확보 - 진정성 유지를 위해 모든 과..