본문 바로가기

[+] Forensic

TSK(The Sleuth Kit) 사용 매뉴얼 한글 버전!! 얼마전까지 파일시스템을 공부하고 다른것들을 이것저것 하다보니 파일시스템에 대한 전반적인 지식은 존재하지만 깊이 있는 지식들은 가물가물하더군요. 그래서 TSK 사용법도 익힐 겸 다시 한번 공부를 시도 하였습니다. 조금 더 완벽한 문서로 만들어 배포하려 했으나 HPA 영역이 설정 된 디스크의 샘플 이미지를 구하기가 너무 힘들었고 또 제가 문서 꾸미는 것을 잘하지 못하여 이렇게 그냥 배포 합니다... HPA 부분은 조금 더 연구와 수소문을 통해 알아낸 뒤 문서에 업데이트하여 배포하도록 할께요 ^^ 문서에 해당 도구를 이용한 문제풀이나 예제 시나리오를 첨부하려고 했는데 도구의 기능이 너무 좋아 금방 끝나 버릴 것 같아 사용법만 적어 이렇게 배포 합니다. 더보기
Mac OS X - Live Response (5) 이번에는 사용자의 행동과 관련된 정보들을 찾아 볼 것이다. Mac OS X에서는 사용자의 여러 행동 정보(접근/실행 한 파일 및 디렉토리 등)를 plist로 저장해 두고 있다. [최근 접근한 어플리케이션] 사용자가 최근 접근한 어플리케이션의 정보를 저장하는 plist 파일이 있는데 파일 명은 com.apple.recentitmes.plist(오타 아님)이다. 파일의 위치는 /Users//Library/Preferences 이다. 파일은 실행 프로퍼티 리스트로 plutil로 변환하여 보면 [그림 1]과 같다. [그림 1 - com.apple.recentitmes.plist 파일의 일부분] 한가지 특징으로는 접근한 시간, 즉 타임스탬프를 제공해주지 않는다는 점이다. 그렇기 때문에 해당 정보만을 가지고 특정 .. 더보기
Mac OS X - Live Response (4) Mac OS X는 다른 OS와 다르게 프로퍼티 리스트(Property List, .plist)라는 파일들이 존재한다. 해당 파일은 Mac OS X에서 실행되는 어플리케이션 정보들이 저장되는 파일인데 일반 TEXT 프로퍼티 리스트와 실행 파일 프로퍼티 리스트 두개로 종류가 나뉜다.Text 프로퍼티 리스트 파일은 xml 형태로 되어 있으며 실행 파일 프로퍼티 리스트는 xml 형태로 되어 있지 않으나 plutil 명령어를 이용하여 xml 형태로 변형 시킬 수 있다. 이번에 살펴 볼 사용자 정보나 네트워크 정보등이 모두 프로퍼티 리스트 파일 형태이다. 첫 번째로 네트워크 정보를 한번 살펴보자. Mac OS X의 네트워크 정보는 /Library/Preferences/SystemConfiguration 디렉토리에 .. 더보기
Mac OS X - Live Response (3) 포렌식에서 어떤 대상을 분석하던 시간은 정말 중요한 정보이며 사건의 기준이 된다. Mac OS X에서는 시간 값이 어떻게 변화되는지 간단하게 알아보자.Mac OS X도 다른 OS나 파일시스템과 동일하게 MAC(Modify, Access, Create) Time이 존재하고, 여기에 추가적으로 Change Time이 존재한다.(HFS+ 파일시스템에서 시간 정보는 Catalog File의 파일레코드에 존재한다.) [그림 1 - 시간 종류별 설명] * 참고 : Change Time이 갱신 될 경우 Modify Time도 같이 갱신 된다. 그럼 이제부터 [그림 1]의 설명들이 무엇을 의미하는지 알아보도록 하겠다. touch 명령어로 간단히 파일을 생성하고 그 시간을 한번 알아보면 [그림 2]와 같다. [그림 2 .. 더보기
Memory Forensics PoketBook(KR) 얼마전 영문판으로 나왔던 메모리 포렌식 포켓북이 한글판으로 번역되어 나왔습니다. 출처 : http://www.itlkorea.kr/ 더보기

티스토리툴바