앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다.


본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다.


혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.

이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 


현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 


그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다.


사고 분석 시 많은 도움이 되었으면 좋겠습니다.


파일 공개는 회사 블로그로 대체합니다.


http://blog.plainbit.co.kr/archives/2048


'[+] Forensic' 카테고리의 다른 글

Forensic CheatSheet  (2) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
[F-INSIGHT] Deep in the artifacts #1  (3) 2017.03.10
파이썬으로 파일시스템 깊이 있게 분석하기 -2-  (0) 2015.07.05
  1. 으쌰 2018.05.30 17:39 신고

    안녕하세요. 블로그 포스트 흥미 있고 해서 앞으로도 자주 들일 예정입니다. 그리고 저의 목표에 거름이 되어주시길 간곡히 부탁드립니다. 포렌식 쪽 관심이 있어서 공부하는 법을 찾아보고 있는데 학원 홍보글 밖에 안보이더라구요.. 꿈은 디지털 포렌식 수사관 입니다. 혹시 디포쪽 공부하려면 무엇을 해야할지 선생님의 커리큘럼을 따라가려합니다
    일단 학원은 부딪혀봐야 안다고 해서 독학으로 했다가 힘들면 등록 예정입니다 지금 c언어 독학중입니다. 시스템보안 쪽은 언어 하나 정도면 충분하다고 하고 그 다음 뭘 해야될지 ... 선생님의 공부법을 알려주시면 감사드리겠습니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.06.14 23:36 신고

      음.. 일단 컴퓨터 공부부터 하시는게 좋을 듯 싶고 그런 다음에는 차근차근 포렌식 서적들을 보시는게 좋을 듯 싶네요.

윈도우 NTFS 파일시스템의 타임스탬프 변화 표는 여러 블로그와 홈페이지에 연구되어 포스팅되어 있는 것들을 보았지만, 아직까지 리눅스 배포판에 대한 정리 표가 없는 것 같아 정리를 해 보았다.


리눅스 배포판 중 우선 Ubuntu 배포판을 선택하여 Ext3 파일시스템의 시간 변화에 대하여 조사하였고, 아래와 같이 엑셀 파일로 정리하였다.


혼자 정리했기 때문에 빠진 행위나 부족한 점이 있을지도 모르니 피드백을 보내면 피드백을 수렴하여 현재 배포판의 표 수정과 함께 다음 배포판 변화 표에 추가해 정리하도록 하겠다




리눅스 배포판 Time 변화 표 v0.1.xlsx




  1. Favicon of http://blueh4g.tistory.com BlogIcon bughela 2014.10.28 16:07 신고

    우와.. 정말 천재시네요 ㅜㅜ 이런건 어떻게 하나요? ㅠㅠㅠ

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.10.30 16:31 신고

      앗, ㅋㅋㅋㅋ 깜짝이얔ㅋㅋㅋ

      포렌식 공부하시면 할 수 있습니당!


요즘 날씨가 추워 손도 얼고 뇌도 얼고(?) 해서 그런지 몰라도 뜻대로 잘 안써지네요. 조금 더 책과 사설등을 많이 읽어야겠습니다.


참고로 문서에서 언급하지 않은 부분이 있는데, Meterpreter가 동작할 때 공격자 PC의 Meterpreter와 피해자 PC의 


세션 프로세스에서는 초기화를 먼저 수행하고 세션을 연결합니다.


문서를 이해하는데는 무리가 없어 문서에서는 제외하였는데, Meterpreter 동작 원리에 대해서 조금 더 관심이 있으신 분들이 있을 것 


같아 이렇게 언급합니다.



METASPLOIT FORENSIC.pdf





Forensic-Skypev2.0.pdf


인터넷 전화 Skype와 관련된 포렌식 아티팩트를 정리한 문서 입니다.


스페인어로 되어 있는데 영문 버전을 원하신다면 아래 동영상을 참고하시기 바랍니다.


http://www.youtube.com/watch?v=Xiz5qzFs3Zw&feature=player_embedded


출처 : http://www.el-palomo.com

'[+] Forensic' 카테고리의 다른 글

iOS Forensic - (2)  (0) 2012.08.14
iOS Forensic - (1)  (0) 2012.08.13
Skype Forensic  (0) 2012.08.07
[Forensic Case] 기업 문서 유출 사건  (0) 2012.08.05
디스크 암호화와 디지털 포렌식  (0) 2012.07.25

 * 인메모리에 대한 기술적 문서가 아직 많이 존재하지 않아 내용이 부실할수도 있으니 이해 부탁드립니다. 또 보안과 포렌식의 부분은 통상적 이야기가 아닌 개인적 견해가 많이 있습니다.


1. 인메모리 컴퓨팅 개요

이 글에서 주제로 다룰 것은 In-Memory 컴퓨팅 기술이다. 조금은 생소하게 들릴수도 있고 또 어떤사람은 어느정도 알고 있는 이야기 일수도 있다. 사실 In-Memory 기술은 이번에 새로 개발 된 신기술이 아니다. 10여년 전부터 사용되었던 기술이고 우리 일상생활에서도 알게 모르게 사용되고 있던 기술이다. 우리의 피부로 와닿지 않아 알지 못하고 있었을 뿐이다. 일단 인메모리가 무엇인지 간단하게 정의를 보도록 하자.


 - 시스템의 메인메모리에 애플리케이션 등의 데이터 등을 디스크 대신 저장 해 실시간 처리를 가능하게 하는 기술


현재 많이 쓰이고 있는 HDD와 일반 메모리를 비교 했을 때(SSD도 많이 쓰이는 추세지만 아직까지는 HDD가 많이 쓰인다.) 입출력의 속도 차이는 실제 10배 이상 차이가 나는데 메인메모리에 대용량 데이터를 저장 해 처리 함으로써 처리 속도도 그만큼 빨라지는 것이다. 

인메모리는 어떤 곳에서 주로 사용 되었고 앞으로 사용 될까? 예전부터 증권 시세 분석, 통신사 과금 데이터 처리 등에서 사용 되었고 현재는 빅데이터에서도 필수적인 기술로 손꼽히고 있다. 빅데이터의 관심으로 인해 IT 트렌트로 뽑힌 이유도 있긴하지만 제일 큰 이유는 하드웨어의 가격이 이전에 비해 저렴해 졌기 때문이다. 이전의 컴퓨터에서 사용 되는 하드웨어 장비들의 가격은 고가이었지만 요즘은 저렴한 가격에 훌륭한 퍼포먼스를 가진 하드웨어를 쉽게 구입 할 수 있어 인메모리가 지금에서야 관심을 받고 있는 것이다. 또 부가적으로 실시간으로 데이터를 처리하는 서비스와 기술들이 늘어난 이유도 있다. 현재 가장 활발하게 인메모리 기술을 활용하는 곳은 데이터베이스 분야이다. 인메모리를 활용 해 데이터베이스 자체를 메모리에 올려두어 입출력을 빠르게 해 데이터의 분석/저장/제공을 빠른 속도로 지원하고 있다.


2. 보안과 포렌식

데이터가 급증하고 그에 따른 분석 기술과 분석 기술을 뒷받침하는 기술들이 생김에 따라 데이터는 효율적으로 분석되고 사용된다. 하지만 이렇게 편해짐에 따라 뒤 따라오는 위험또한 커지기 마련이다. 현재로서 두 가지로 나누어져 있는 저장소가 하나로 합쳐짐에 따라 보안의 위협은 더 커졌다고 볼 수 있다. 현재로서는 대부분의 대용량 데이터가 디스크에 저장된다. 하지만 인메모리 시스템의 경우 디스크가 아닌 메모리에 저장이 된다. 과연 이 데이터들은 안전할까? 특히 인메모리가 제일 많이 사용되고 있는 데이터베이스 분야에서 데이터의 무결성이란 제일 중요한 데이터의 보안성 중 하나이다. 그런데 메모리에 올라간 데이터의 무결성을 완전하게 입증 할 수 있을까? 라는 의문이 든다. 물론 인메모리 기술을 사용하여 데이터베이스를 구축하는 회사에서도 이를 신경쓰고 개발 및 검증을 했을 것이다. 하지만 인메모리 기술이란 메모리의 여러가지 기능을 충족시켜 메모리의 안정성 및 기능을 모두 업그레이드 시킨 기술이 아니다. 언제 어떻게 어떤 입/출력에 의해 메모리에 crash가 일어 날 수 있다는 것이 문제이며, 또 crash가 일어남으로써 메모리에 저장되어 있는 데이터베이스 데이터들의 무결성이 완전하게 보장될까 라는 것이 문제이다. 또 메모리는 조작이 쉬운면도 있어 데이터의 무결성을 의심케 한다.

이제 포렌식 측면에서 살펴보자. 포렌식 수행과정에서 분석대상에는 메모리와 디스크의 파일시스템이 주를 이룬다. 그런데 포렌식에서 다루는 메모리의 구조와 인메모리의 구조는 조금의 차이를 보인다. 데이터가 저장되는 형식 조금 다르다. 인메모리 데이터베이스의 경우 디스크에 데이터베이스가 구성되 데이터를 저장하던 레코드 방식이 아닌 칼럼 방식으로 데이터를 저장하기 때문에(인덱스 검색으로 데이터 검색을 빠르고 효율적으로 하기 위해) 데이터베이스 구조가 일반 데이터베이스 구조와는 대동소이하며 일반적 메모리는 paging 방식을 취해 데이터를 관리하고 있지만 인메모리의 경우 데이터를 효율적으로 압축하여 메모리에 저장하고 있어 현재의 메모리 분석 방법론으로 접근을 하는 것에는 한계가 있어 보인다.

+ Recent posts