본문 바로가기

[+] Forensic

Advanced Jump List Forensics 포렌식 아티팩트 중에는 점프 목록(Jump List)라는 것이 있다. 각 어플리케이션 또는 시스템에서 자주 사용 되거나 최근에 사용 되었던 것들에 대해서 지역성 있게 윈도우 운영체제 자체에서 사용이력을 관리하기 위한 기술이라고 생각하면 되는데, 이번 글에서는 점프 목록에 대한 다른 문서들에서 언급되지 않은 이야기를 해보고자 한다. 기본적인 점프 목록에 대해서는 Forensic-Proof에서 자세하게 설명하고 있으니 참고하기 바란다. 이번 글에서는 다른 문서나 블로그 포스트에서 다루지 않았던 이야기를 하기 때문에 기본적인 설명을 생략할까 한다. 점프 목록 포렌식 기본 : http://forensic-proof.com/archives/1904 위 글을 읽었다면 점프 목록에는 "AutomationDestina.. 더보기
[정리] 로컬시스템 시간 변경 흔적(Local System Time Change Artifact) 안티 포렌식에서 가장 간단하게 할 수 있는 것 중 하나가 시간 변경이다. 운영체제의 시간을 변경하여 두면 이후에 일어나는 일들의 시간이 시스템 시간에 맞춰지기 때문에 추후에 타임라인 분석등을 진행 했을 때 분석에 어려움을 겪을 수 있다. 이번 글에서는 사용자가 운영체제에서 지원하는 기능으로 시간을 변경 했을 때 어떤 흔적들이 남는지 카테고리 분류별로 알아볼 예정이다. 해당 글에서 정한 카테고리는 프리패치, 이벤트로그, 레지스트리, 파일시스템 로그 총 4가지 분류이며, 각각의 카테고리별로 Windows XP와 Windows 7을 중심으로 컨트롤 패널 기능과 명령 프롬프트 기능을 이용했을 때 남는 흔적들을 정리 해 보도록 하겠다. 1. Prefetch 1) Windows XPWindows XP의 경우 시작표.. 더보기
APT(Advanced Persistent Threat) incident response with Event Log 우리나라는 한글과 컴퓨터 회사에서 만든 한컴오피스를 공공기관부터 시작 해 일반 사용자들까지 굉장히 많이 쓰고 있어, 공격자들에게 공격 타겟으로 많이 설정되어 공격을 당하곤 한다. 한컴 오피스에서 특히 '한컴오피스 한글'은 많은 해커들에게 공격 타겟이 되곤 하는데, 얼마전부터는 특정 대상을 공격하는데도 '한컴오피스 한글'의 제로데이 취약점이 이용되기도 하였다. 해당 글에서는 윈도우에서 지원하는 로깅인 이벤트 로그에서 APT 공격 또는 악성코드 공격에 해당하는 이벤트 로그를 살펴볼까 한다.본글에서 이루어진 작업들은 모두 Windows 7 32bit Enterprise, 한컴오피스 한글 2010에서 진행되었으면, 공격에 사용 된 샘플은 실제로 배포 되었던 '북한방송 주요논조.hwp' 파일로 진행 하였다. 해당.. 더보기
[정리] NTFS FileTime 변화 표 NTFS에는 M(Modified), A(Accessed), C(Created), E($MFT Entry Record Update Time)이 있습니다. 파일의 이동과 복사 등의 많은 상황에 따라 시간 값이 변화 되는 특징을 정리 해 보았습니다. 외워두면 편하겠지만, 외워야 할 경우들이 많아서 참고 시 참고용도로 보시면 좋을 것 같습니다. 더보기
ADD(Attention-Deficit-Disorder)에 대하여 얼마 전 Shmoocon 컨퍼런스에서 물리 메모리를 대상으로 한 안티 포렌식 기술이 발표되었다. ADD(Attention-Deficit-Disorder)라고 하는 PoC Tool과 함께 발표되었는데 아이디어는 상당히 간단하다. 이번 글에서는 해당 기술의 원리를 알아보고 탐지 방법을 알아 볼 예정이다. 1. 들어가며메모리 포렌식은 지금까지 굉장히 빠른 발전을 해 왔다. 그 중에서 Volatility가 단연 사람들에게 많이 알려지고 발전도 가장 많이 되어 있는데, ADD는 Volatility가 메모리를 분석 할 때의 방법을 역으로 이용 해 허위 메모리 정보를 삽입 해 분석가의 분석 시간과 시야를 방해 한다. 예를 들어, 프로세스 목록에서 허위 프로세스를 삽입 해 분석가가 허위 프로세스와 진짜 목적의 프로세스.. 더보기

티스토리툴바