본문 바로가기

[+] Forensic

Internet Explorer 10 Forensic 지금까지 Internet Explorer는 많은 발전을 해왔고 인터넷 역사에 한 획을 그었다고 할 수 있다. 그만큼 사람들이 많이 사용하는 브라우저이기 때문에 디지털 포렌식 관점에서도 브라우저에서 생성 되는 디지털 흔적들을 많이 발견하는 연구가 진행되어 왔다. 그 연구 성과들은 인터넷 검색을 통해 쉽게 접할 수 있는데, 이번 Internet Explorer는 이전(IE 9)과는 그 흔적의 위치가 달라 따로 이렇게 글을 남겨본다. Windows 7 까지 기본적으로 포함되어 있던 IE는 쿠키나 히스토리 등의 흔적을 각각의 index.dat 파일로 남겼었다. 하지만 Windows 8에 포함되어 있는 IE10은 이런 index.dat 파일이 존재하지 않는다. [그림 1 - Windows 8의 History 디렉.. 더보기
iOS Forensic - (4) 이번 글에서는 iOS 포렌식을 위해 개발 된 도구들과 포렌식 분석 업무에 도움이 될만한 도구들을 소개하고자 한다. iOS가 탑재 된 모바일 장치가 급격히 많이 사용 됨에 따라 이와 비례적으로 발생하는 침해사고등을 분석하기 위해 여러 업체에서는 iOS 분석 도구를 개발해 판매하거나 무료로 배포하고 있다. 여기서 소개하는 도구들은 모두 완벽한 도구들은 절대로 아니다. 테스트를 해보면 일부 데이터가 누락된다거나 분석하지 않는 부분이 있다거나 하는 등의 단점을 모든 도구가 지니고 있다. 이는 정확한 분석 방법론과 정확한 분석 방법이 확립되지 않아서 발생하는 문제다. 이러한 이유로 포렌식 분석을 하기 위해 도구를 사용 할 때에는 여러가지 면을 살펴 신중하게 도구를 선택해야 한다. 1. mdhelper해당 도구는 .. 더보기
iOS Forensic - (3) 이전 글까지는 iOS의 분석을 위한 이미지 데이터 획득과 분석 방법에 대하여 아주 간단하게나마 알아보았었다. 하지만 이번 글에서는 잠시 그 이전으로 돌아가 모바일 장치를 획득 했을 때 조치하거나 확인해야 하는 부분들을 언급하고자 한다. 조사관이 모바일 장치를 얻었을 경우 포렌식으로서 가장 중요한 것은 무엇인가? 바로 분석 데이터 보존이 아닐까? Apple 社에서는 이와 반대되는 기능으로 원격에서 해당 장치의 데이터를 완전 삭제 할 수 있는 기능을 제공하고 있다. 이 기능을 사용하기 위해서는 MobileMe 계정이 필요한데 이 계정만 알고 있으면 어디서든지 자신의 모바일 장치 데이터를 완전 삭제 할 수 있다. 만약 조사관이 획득한 모바일 장치의 MobileMe 계정을 모바일 장치 주인뿐만이 아닌 배우자나 .. 더보기
iOS Forensic - (2) [백업을 이용한 분석]대부분의 기기(컴퓨터를 포함한 디지털 기기)들은 백업 기능을 기본적으로 지원한다. 물론 iOS를 탑재하고 있는 Apple 社의 기기들도 백업을 지원한다. 하지만 다른 일반 디지털 기기들과는 다르게 특정 프로그램으로 백업이 이루어지는 그 프로그램은 바로 iTunes라는 프로그램이다. iOS가 탑재 된 모바일 장치를 사용하기 위해서는 꼭 iTunes라는 프로그램을 사용 해야 한다.만약, 분석하려는 모바일 장치에 Root 권한을 획득하지 못하는 상황이라면 포렌식 수행은 어떻게 해야 하는 것일까? 꼭 기술적인 문제가 아닌 법률적 문제로 인해 Root 권한을 얻지 못하는 상황이라면, 암호화 된 데이터를 어떻게 얻어 낼 수 있을까? 이때 이용하는 방법이 백업파일 분석 방법이다. iOS의 백업기.. 더보기
iOS Forensic - (1) 요즘은 대부분 스마트폰 하나씩은 가지고 있다. 안드로이드폰이 되었던 아이폰이 되었던 대부분은 스마트폰이라는 범주안에 포함되는 휴대용 전화기를 가지고 있으며 더 나아가서는 태블릿 PC라는 것도 가지고 있다. 이처럼 사람과 가장 밀접한 관계를 가진 기기들은 당연히 밀접한 관계인 사람의 정보를 가지고 있기 마련이다. 이러한 점을 해커들도 모르고 있지 않다. 그래서 요즘은 스마트폰에 관한 공격이 끊이지 않고 있고 연구 또한 계속되고 있다. 얼마전까지만 하더라도 연구로 그치던 공격들이 실제 사용되고 피해도 생기고 있으며 현재 스마트폰 악성코드는 기하급수적으로 그 수가 늘어나고 있다. 그래서 침해사고에 관한 포렌식을 수행 할 경우 특정인물과 관련된 정보를 얻고자 할 때 스마트폰을 분석하게 된다. 스마트폰의 포렌식 .. 더보기