다음은 발표 내용의 요약 글입니다.

현재 DPAPI 버전은 사용자의 평문 패스워드의 SHA-1 해시 값을 이용해 데이터를 암/복호화합니다. 원칙적으로 사용자의 평문 패스워드를 획득하는 것은 어려운 일이지만, Windows 8.1 버전 이상부터 새롭게 추가된 ARSO(TBAL) 기능으로 인해 사용자의 평문 패스워드 SHA-1 해시 값을 획득 가능하게 되어 사용자의 평문 패스워드를 획득하지 못하더라도 DPAPI로 암호화된 데이터를 복호화할 수 있습니다.


[F-INSIGHT] About DPAPI.pdf


'[+] Forensic' 카테고리의 다른 글

DPAPI DECRYPTION WITHOUT USER PASSWORD  (0) 2018.11.13
[Challenge] dfChallenge 소개  (2) 2018.08.16
Forensic CheatSheet  (4) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06

이번 글에서는 dfChallenge에 대해서 소개할 예정입니다.

 - WebSite: http://dfchallenge.org/


이번에 국내와 국제를 대상으로 열리는 dfChallenge는 국가정보원이 후원하고 한국정보보호학회가 주관/주최하는 대회입니다. 


(이미 열려서 진행 중 ㅠㅠ..)



대회의 성격은 DC3 대회와 유사합니다. 여러 분야의 문제가 각 5문제씩 출제되는데, 마지막 문제로 갈수록 현재 답이 존재하지 않는 주제가 주어집니다. 


연구 성격을 띄는 문제라고도 설명할 수 있겠네요.


문제 채점 및 순위 결정은 내부 심사위원들이 문제 출제자가 설정한 기준에 따라 평가한 후 점수를 부여해 진행한다고 합니다.


국내에서 열리는 첫 국제 디지털 포렌식 대회인 만큼 많은 관심이 필요할 것 같습니다.


그리고 챌린지 외에도 TechContest라는 부문도 있습니다. 각자 혹은 팀 단위로 연구한 기술을 제출해 평가 받는 부문입니다.


혹시 개인적으로 기술 연구를 꾸준히 하시는 분이라면 TechContest도 매력적이지 않을까 싶네요.


모두 건승하시길 바랍니당 :-)




'[+] Forensic' 카테고리의 다른 글

DPAPI DECRYPTION WITHOUT USER PASSWORD  (0) 2018.11.13
[Challenge] dfChallenge 소개  (2) 2018.08.16
Forensic CheatSheet  (4) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
  1. 2018.08.21 13:48

    비밀댓글입니다

  2. 2018.08.28 10:40

    비밀댓글입니다

앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다.


본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다.


혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.

이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 


현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 


그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다.


사고 분석 시 많은 도움이 되었으면 좋겠습니다.


파일 공개는 회사 블로그로 대체합니다.


http://blog.plainbit.co.kr/archives/2048


'[+] Forensic' 카테고리의 다른 글

DPAPI DECRYPTION WITHOUT USER PASSWORD  (0) 2018.11.13
[Challenge] dfChallenge 소개  (2) 2018.08.16
Forensic CheatSheet  (4) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
  1. 으쌰 2018.05.30 17:39 신고

    안녕하세요. 블로그 포스트 흥미 있고 해서 앞으로도 자주 들일 예정입니다. 그리고 저의 목표에 거름이 되어주시길 간곡히 부탁드립니다. 포렌식 쪽 관심이 있어서 공부하는 법을 찾아보고 있는데 학원 홍보글 밖에 안보이더라구요.. 꿈은 디지털 포렌식 수사관 입니다. 혹시 디포쪽 공부하려면 무엇을 해야할지 선생님의 커리큘럼을 따라가려합니다
    일단 학원은 부딪혀봐야 안다고 해서 독학으로 했다가 힘들면 등록 예정입니다 지금 c언어 독학중입니다. 시스템보안 쪽은 언어 하나 정도면 충분하다고 하고 그 다음 뭘 해야될지 ... 선생님의 공부법을 알려주시면 감사드리겠습니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.06.14 23:36 신고

      음.. 일단 컴퓨터 공부부터 하시는게 좋을 듯 싶고 그런 다음에는 차근차근 포렌식 서적들을 보시는게 좋을 듯 싶네요.

  2. Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2018.08.09 16:09 신고

    올만에 인사드리네요~ 플레인 비트에 계세요??? ㅎㅎ
    업무는 재미있으신지요?

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.08.16 11:17 신고

      네 아직 플레인비트에 있습니다 ㅎㅎ

      업무는 아직도 재미있네요 :-)

      요즘은 뭐하고 지내시나요?!

회사에서 분석을 진행하며 접한 사례를 기반으로 해 회사 블로그에 글을 게재 했습니다. 이런 이유로 Outlink로 블로그 포스팅을 대체합니다.


사고 분석 시 외장저장장치 기록을 분석하다보면 많은 포렌식 분석가들이 활용하는 정보 중 하나가 Volume Serial Number입니다.


일반적으로 포렌식 분석가들이 외장저장장치 구분 시 Volume Serial Number를 많이 사용하는데요.


본 포스팅에서는 Volume Serial Number에 대해 알아보고 포렌식 분석가들이 잘못 판단할 수 있는 사례를 소개합니다.


http://blog.plainbit.co.kr/archives/1916

'[+] Forensic' 카테고리의 다른 글

[Challenge] dfChallenge 소개  (2) 2018.08.16
Forensic CheatSheet  (4) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
[F-INSIGHT] Deep in the artifacts #1  (3) 2017.03.10

실무에서 일을 한지 벌써 5년차에 접어들었습니다. 


학생 때는 빨리 실무를 경험하고 싶었고, 경험한 내용을 블로그에 정리하고 싶었지만 여러가지 이유로 그러지 못하다 보니 자연스레 블로그에 관심을 두지 않게 되었습니다.


5년전과 지금을 비교해보면 많은 변화가 있었습니다.


국내 많은 곳에서 강의도 하고, 디지털포렌식과 관련된 대회도 운영하며 많은 사람들을 만나고 많은 사건 사고를 분석했습니다.


그로 인해 책으로 공부하지 못하는 경험을 얻었고, 현재 디지털포렌식 실무에서 무엇이 문제이고, 어떻게 해결을 해나가야 하는지에 대한 것들이 현재는 제게 큰 재산으로 남아 있습니다. 


그래서 지금 고민하고 해결해야 할 것들을 두가지 형태로 공유하고자 합니다.


학생 때 처럼 매번 시간을 내서 블로그에 글을 올리지 못하는 것은 어떻게 보면 변명이지만, `정보는 공유되어야 한다.` 라는 생각은 변함이 없기에 첫 번째로, 제가 가진 지식과 경험을 책으로 공유하고자 합니다.


이전에 출판되었던 `디지털 포렌식의 세계` 책은 여러 지식을 모아놓은 수준 밖에 되지 않아 사실 지금 그 책을 보면 부끄러움이 앞섭니다.


그래서 제가 경험했던 정보유출사고와 침해사고에 대한 분석 경험과 지식을 시리즈로 나누어 모두에게 공유해보고자 합니다.


정보가 공유되고 다듬어지면 정말 날카롭고 쓸만한 무기가 될 것 같거든요 :-)


두 번째는 도구(Tool)로 공유하고자 합니다. 현재 주로 개발하는 도구는 2개가 있습니다. 한가지는 다음과 같은 화면의 종합 분석 도구입니다.



기존에 알려져 있는 아티팩트와 사고 경험을 통해 알게된 아티팩트를 분석할 수 있는 통합 분석 도구입니다. 현재 대부분의 기능은 구현이 되어 있는데 GUI 쪽 작업을 다시 하느라 릴리즈가 늦어지고 있네요.


또 하나는 인텔리전스(Intelligence) 웹 서비스입니다. 사이버 인텔리전스 뿐만 아니라 우리나라 사회에 필요할만한 여러 정보를 모아 가공하고 이를 모두에게 공유하고자 하는 플랫폼입니다. 해당 프로젝트는 저 혼자 하는건 아니고 뜻이 맞는 분들과 진행하고 있는데, 이번년도에 프로토타입이 나올 것으로 예상됩니다.




어쩌다보니 블로그가 생각나 주절주절 떠들었네요. 예전에 블로그 하던 때가 참 재밌었는데 요즘은 그렇지 못한게 조금 아쉽습니다.


혹시 제 블로그를 보고 의견이나 질문이 있으시면 블로그 댓글 보단 메일(saiwnsgud@gmail.com)을 보내주시면 감사하겠습니다. (__)

+ Recent posts