앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다.


본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다.


혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.

이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 


현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 


그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다.


사고 분석 시 많은 도움이 되었으면 좋겠습니다.


파일 공개는 회사 블로그로 대체합니다.


http://blog.plainbit.co.kr/archives/2048


'[+] Forensic' 카테고리의 다른 글

Forensic CheatSheet  (3) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
[F-INSIGHT] Deep in the artifacts #1  (3) 2017.03.10
파이썬으로 파일시스템 깊이 있게 분석하기 -2-  (0) 2015.07.05
  1. 으쌰 2018.05.30 17:39 신고

    안녕하세요. 블로그 포스트 흥미 있고 해서 앞으로도 자주 들일 예정입니다. 그리고 저의 목표에 거름이 되어주시길 간곡히 부탁드립니다. 포렌식 쪽 관심이 있어서 공부하는 법을 찾아보고 있는데 학원 홍보글 밖에 안보이더라구요.. 꿈은 디지털 포렌식 수사관 입니다. 혹시 디포쪽 공부하려면 무엇을 해야할지 선생님의 커리큘럼을 따라가려합니다
    일단 학원은 부딪혀봐야 안다고 해서 독학으로 했다가 힘들면 등록 예정입니다 지금 c언어 독학중입니다. 시스템보안 쪽은 언어 하나 정도면 충분하다고 하고 그 다음 뭘 해야될지 ... 선생님의 공부법을 알려주시면 감사드리겠습니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.06.14 23:36 신고

      음.. 일단 컴퓨터 공부부터 하시는게 좋을 듯 싶고 그런 다음에는 차근차근 포렌식 서적들을 보시는게 좋을 듯 싶네요.

  2. Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2018.08.09 16:09

    관리자의 승인을 기다리고 있는 댓글입니다

F-INSIGHT에서 발표했던 발표자료입니다.



Deep in the artifacts #1.pdf


  1. 오정훈 2017.03.13 19:28 신고

    좋은 자료 감사합니다~^^

  2. nill 2017.04.05 17:20 신고

    좋은자료감사합니다
    uuid가 레지스트리에 존재하나요?
    아무리 찾아도 없네요;;

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2017.04.07 17:58 신고

      UUID 형태의 값들은 많이 존재하지만, UUID라고 명확하게 명시되어 있는 단일 값은 존재하지 않습니다.

포렌식을 전문으로 연구하는 For.MD Team에서 배포하는 첫 번째 문서 입니다.





[For.MD] Torrent Forensics.pdf


  1. BlogIcon 트라 2013.09.24 23:36 신고

    문서 잘 보겠습니다 ^^

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.09.26 22:47 신고

      감사합니다 ㅎ

      페북으로도 연락을 하면 참 좋을텐데 ㅠㅠ..

  2. 나그네 2013.11.14 16:40 신고

    포렌식분야에 관심이 많아서 검색하다가 우연히 찾게되었는데 문서는 잘보았습니다.
    문서를 보면서 아쉬운 점은 결론부분에 언급하신 수사대상에 대한 기준이 정확하지 않고 억울한 피해자가 몇몇 발생한다고 하셨는데 배포자료인 만큼 신중을 기하셔서 작성하여 주셨으면 합니다.
    수사기관은 법률위반을 판단하여 자체적인 기준을 수립하고 수사를 진행합니다.
    그리고 저작권법상 토렌트 사용자는 다운로더 이면서 동시에 업로더가 되기때문에 저작권법을 위반한 사용자 입니다 법위반에 경중은 있겠으나 토렌트 사용자가 수사를 받는것이 억울한 피해자 일까요?
    배포 자료인 만큼 객관적 사실만을 전달해주셨으면 합니다.

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.11.14 20:43 신고

      의견 감사합니다 :)

      아무래도 공부하는 입장이다보니 다소 여러 입장을 고려하지 못한면도 있었네요.

      다음부턴 조금 더 신중하게 여러가지 면을 생각하고 문서 작성과 배포를 하도록 하겠습니다.

      다시 한번 감사드립니다 ㅎ

제가 집필한 '디지털 포렌식의 세계' 책이 문화체육관광부가 선정한 2013년도 우수학술도서로 선정되었습니다.


다시 한번 많은 관심과 구매(?) 감사합니다 :)





문화체육관광부에서 800만원 어치의 책을 구매 해 전국 도서관에 배부한다고 하니 대부분 도서관에서 접하실 수 있으실 듯 합니다.


아래는 원 문서입니다.



선정도서 목록.pdf


정말 얼마만에 블로그에 글을 올리는지 모르겠다. 간간히 페이스북으로 지인분들의 소식과 올려주시는 링크들을 통해 보안쪽과 포렌식쪽의 소식은 듣고 있었지만 사실 한번 훅 훑고 말았던지라 현재 내게 남은 링크에 대한 기억은 거의 없는 편이다... ㅠㅠ

얼마전 카톨릭대학교의 보안동아리인 CAT Security와 홍익대학교의 HUST 대회가 개최 되었었는데 이번 글에서 CAT Security에서 출제한 Forensic 1번 문제를 풀이 해 볼 생각이다.

국내 대학교 동아리에서 여는 대회나 해커 커뮤니티에서 개최하는 대회들은 그 문제들을 구하기가 쉽지 않아 아는 지인분을 통해 문제들을 구해 풀어보았다. 사실 문제 풀이에 대한 포스팅은 하지 않으려 했으나 문제를 풀고 보안프로젝트에 올라온 어떤 분의 풀이보고서를 보니 Forensic 문제를 대부분 게싱이나 삽질(?)에 의해서 푼 흔적이 많이 보여 Forensic 관점에서 해당 문제를 어떻게 보아야 하고 어떻게 풀어야 하는지에 대해 한번 기술해 보려 이렇게 글을 쓰게 되었다.


사설이 길었다! 바로 풀이를 시작해 보도록 하겠다.


먼저 문제를 살펴보자.


Find the Key :) 


문제 한번 정말 간단하다! 무작정 키를 찾으라는 이런 문제는 문제를 풀이하는 입장에서 보면 정말 황당하고 막막한 문제가 아닐 수 없다. 일단 문제 파일에는 확장자가 붙여져 있지 않으므로 리눅스 계열에 있는 file 명령으로 해당 파일이 어떤 파일인지 파악해 보면 쉽게 어떤 파일인지 파악 할 수 있다.


[그림 1 - 파일 종류 확인]


파일 종류를 확인했더니 FAT 32라고 알려준다. 그럼 이제 무엇을 해야 할까? 사실 여기서부터는 여러가지 방향이 있다. 이미징 파일이니 바로 FTK Imager, EnCase 등으로 분석을 할 수도 있고 현재 파일에 속해 있는 키 값을 문자열 검색으로 찾아 볼 수도 있다.

나는 후자를 선택하여 strings로 문자열을 먼저 검색해보도록 하겠다.


[그림 2 - 문자열 검색]


문자열 검색 결과 마지막을 보면 뭔자 알 수 없는 문자열들이 보이는데, 이는 퍼지해시 툴로 많이 알려진 ssdeep의 출력 값이다.

여기서 ssdeep를 한번이라도 사용 해 본 사람이라면 해당 해시 값을 이용해 무엇을 할 수 있는지 알 수 있을 것이다. 일단 이부분에 대해서는 조금 더 뒤에 이야기 하도록 하겠다. 일단 저 문자열을 기억해 두도록하자.


그럼 이제 해당 파일을 FTK Imager 등으로 열고 안에 무슨 파일들이 존재하는지 살펴보도록 하자.


[그림 3 - 문제파일의 내용]


[그림 3]에서는 모두 보이지 않지만, 모두 png 파일 포맷의 이미지 파일들이 잔뜩 들어 있다. 간혹 정상적으로 보이는 이미지도 있고 안보이는 이미지도 있는데, 이는 왜 그런지 해당 파일들을 모두 Export 해보면 알 수 있다.


[그림 4 - 정상적으로 보이지 않는 이유]


보이지 않는 파일들의 속성을 보면 너비와 높이가 모두 1픽셀로 수정되어 있어 정상적으로 열려도 우리들 눈에 보이지 않는 것이다. 여기서 대부분의 사람들은 해당 파일들이 key와 관계가 있다는 것을 직감하고 1픽셀로 수정 된 모든 파일들을 아까 보았던 ssdeep 문자열에서 512*384를 생각해 픽셀을 해당 크기로 수정하여 문제를 풀었을 것이다.(추측일 뿐입니다.)

물론 그렇게 해도 1픽셀로 수정되어 있는 이미지는 유한정하기 때문에 key와 관련되어 있다면 얼마 시간이 지나지 않아 풀 수 있다. 하지만 문제 출제자의 의도는 그렇지 않다는 것이 현재 내 생각이다. 이런 방법으로 풀기 원했다면 힌트아닌 힌트로 ssdeep 출력 값을 넣어놨을리 없기 때문이다. 

문제 출제자가 공들여 ssdeep 출력 값을 넣어두었으니 나는 그것을 이용해 풀어보도록 하겠다. 먼저 txt 파일등에 해당 문자열을 넣어둔다.


[그림 5 - ssdeep 출력 값을 txt파일에 저장]


그 후 해당 해시 값과 비슷한 해시 값을 가지고 있는 파일을 위 이미지 목록에서 찾기 위해 ssdeep를 사용하자. ssdeep는 지정한 해시 값과 비슷한 해시 값을 찾아 그 유사율을 체크하고 사용자에게 그 유사율을 출력해주는 기능을 가지고 있다.



[그림 6 - ssdeep가 출력한 해시 유사율]


ssdeep는 지정해 준 해시 값과 jukrptdjdy.png의 해시 값이 99% 일치한다고 알려주었다.(99%의 이유는 픽셀 오프셋이 수정되었기 때문) 실제로 해당 파일을 보면 1픽셀로 수정되어 있는 수상한 파일이다.


[그림 7 - ssdeep가 찾아준 수상한 파일]


이제 해당 파일을 원본파일이름에 명시 된 512*384 크기로 수정을 해주자. 수정은 png 파일 포맷을 보고 하면 되니 이 부분은 생략하도록 하겠다. 수정을 하면 다음과 같은 이미지를 볼 수 있다.


[그림 8 - 키 값이 적혀 있는 이미지 파일]


드디어 문제에서 찾으라던 키 값을 찾았다. 사실 어려운 문제도 아니고 풀이 방법도 어렵지 않기 때문에 출제자 역시 해당 문제를 레벨 1로 두었었으리라 생각된다. 하지만 출제자도 포렌식을 공부하는 사람이었기에, 풀이하는 사람들이 포렌식에서 유용하게 사용하는 해시 값에 대해 조금 더 깊이 있고 넓은 지식을 가지길 원해 이런 문제를 출제 한 것이 아닌가라는 생각해 본다. 아님 말고 :-)


'[+] Hacking > [-] Challenge Report' 카테고리의 다른 글

OverTheWire Natas All Clear  (0) 2013.06.24
pCTF 2013 Forensic 150점 풀이  (0) 2013.04.30
CAT Security Forensic 1 Write-Up  (2) 2012.12.07
SANS Forensics Puzzle 10 Write up  (6) 2012.10.14
exploit-exercises Nebula - Level05  (0) 2012.07.27
  1. 2013.07.11 15:02

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.07.12 21:49 신고

      오 예상하지 못했던 댓글이네요 ㅎㅎ

      방문해주셔서 감사합니다 :)

+ Recent posts