오늘은 새로 발견된 포렌식 아티팩트를 살펴볼까 한다. 아직 연구중인 분야라고 하니 간단하게 살펴보고 넘어가도록 하자. EventTranscript.db란 Windows 운영체제에서 발생하는 이벤트에 대해 많은 진단 관련 정보를 실시간으로 기록하는 것으로 보이는 SQLite 데이터베이스라고 한다. 이 데이터베이스는 기본적으로 활성화가 되어있지 않기 때문에 '진단 데이터 보기'에서 활성화를 시켜줄 수 있다. 또한 사용자가 스스로 데이터베이스의 크기와 범위를 지정할 수 있다. 위와 같이 설정 후 '진단 데이터 보기'를 활성화하면 EventTranscript.db 파일이 다음 위치에 생성되는 것도 확인해볼 수 있다. 위치 : C:\ProgramData\Microsoft\Diagnosis\EventTranscri..

저번에 root-me.org의 'Find the cat' 문제를 풀다가 한가지 나의 부족한 점을 발견하여 포스팅한다. 일단 Find the cat의 문제와 풀이를 보자. 설명 : 대통령의 고양이가 납치되었다. 체포된 용의자는 USB를 가지고 있었다. 이를 이용해 고양이가 어느 도시에 있는지 밝혀내자. 압축을 풀고 난 후 파일을 FTK imager로 열어보면 위와 같이 확인할 수 있다. 해당 이미지 파일의 파일 시스템은 FAT32로 확인된다. 이 중 삭제된 파일을 찾을 수가 있는데 Files 폴더에서 revendications.odt 를 추출하면 다음과 같은 화면을 볼 수 있다. 뭔 소린지 모르겠다... 번역을 해보면 문제는 고양이의 위치를 알아야하기 때문에 고양이 사진을 찍었다면 위치 정보가 사진에 남을..

윈도우 아티팩트는 윈도우 사용자가 수행한 작업에 대한 정보를 포함하는 개체라고 한다. 또한 아티팩트들은 각기 다른 성격과 유형을 가지고 있으며 운영체제마다 위치도 다르다. 마찬가지로 윈도우 아티팩트에는 사용자의 흔적에 따른 이벤트 및 중요한 정보가 포함되어 있기 때문에 포렌식 분석을 수행할 때 조사관은 특정 아티팩트를 통해 정확한 증거를 찾을 수 있어야 한다. 따라서 다음과 같이 윈도우 아티팩트에 대해 이해하고 발견할 수 있는 위치를 기억하고 분석할 수 있도록 하자. ※ 이 글은 필자 본인이 보기 쉽게 요약 정리 한 글이며, https://www.sans.org/posters/windows-forensic-analysis/ 의 자료를 다운로드하여 참고 후 작성한 글입니다. 또한 아티팩트의 버전은 윈도우 ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

메모리 포렌식 개요 메모리에는 프로세스가 사용한 데이터, 네트워크 정보 등 하드 디스크에서 찾을 수 없는 흔적이나 휘발성 데이터를 분석하여 악의적인 행동을 조사하고 식별한다. 1. 메모리 포렌식 - 메모리 포렌식은 메모리(RAM)의 존재하는 휘발성 데이터를 덤프하여 분석하는 것을 의미한다. * 휘발성 데이터란? - 전원 공급이 끊기거나 시간 흐름에 따라 저장공간에서 사라지는 데이터를 의미 2. 메모리 덤프 - 메모리 덤프는 특정 순간에서 컴퓨터 메모리 데이터의 스냅 샷 캡쳐 파일이다. 메모리 분석 시 무결성을 위해서 가장 순수한(변조되지 않은) 메모리 덤프 파일을 얻어야 한다. 덤프 파일을 얻기 위해 다음과 같은 방법들이 있다. 하드웨어 - PCI 장치 - FireWire 장치 소프트웨어 - DD - K..

이어서 문제를 풀어보도록 하자. 16. List all search keywords using web browsers (Timestamp, URL, keyword...) - 웹 브라우저를 사용하여 모든 검색 키워드를 나열하라. (타임스탬프, URL, 키워드...) > WEFA 프로그램으로 분석을 진행하면 된다. 하지만 현재 어떤 이유에서인지 수집 후 분석을 진행하면 프로그램이 종료가 된다. (이유를 아시거나 다른 방법을 아시는 분은 알려주시면 감사하겠습니다!) 17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword) - 윈도우 탐색기의 검색 표시줄에 모든 사용자 키워드를 나열하라. (타임스탬프, 키워드) >..

시나리오를 다 읽고 이해했으면 문제를 풀어보도록 하자. 분석 대상은 표에 나와있듯이 총 4가지이다. (PC, RM#1, RM#2, RM#3) 어떤 이미지를 다운 받아 분석하는 것은 본인의 자유인 것 같다. 1. What are the hash values (MD5 & SHA-1) of all Images? Does the acquisition and verification hash value match? - 모든 이미지의 해시 값(MD5 & SHA-1)은 무엇인가? 획득 및 검증 해시 값이 일치한가? > FTK Imager 을 실행하여 [File] - [Add Evidence item...] 을 클릭하여 이미지를 불러온다. 검증할 이미지에 우클릭을 눌러 [Verify drive/image] 이미지 해시를..