forensics 썸네일형 리스트형 SANS Forensics Puzzle 10 Write up SANS에서는 비정기적으로 네트워크 패킷을 기반으로 한 포렌식 챌린지를 진행하곤 한다. 현재 총 10개의 문제가 출제되었고 작년 크리스마스에는 크리스마스 특별(?) 문제를 출제하였었다. 이번에 풀이해 볼 네트워크 포렌식 문제는 가장 최근에 나온 문제로, 필자도 참여했었던 문제이다. 처녀출전이라 어떻게 해야 입상에 가까워지는지 파악을 하지 못해 입상은 하지 못했지만 나름 시간 내가며 풀어 제출 했다는 것에 의의를 두어야 겠다고 생각한다. 총 6개의 질문과 보너스 질문 한가지 존재하며 보너스 질문은 답변 할 시 추가 점수가 부여 된다. 그럼 이제 질문 하나씩 답변 해보자.(아주 간단히 설명하도록 하겠다. 원래는 분석하고 그 정보를 결합해야 하는 부분들이 많이 존재하지만 글이 길어지므로 핵심만 짚고 넘어가겠다.. 더보기 Torrent Forensic Artifact 흔히 어떤 미디어 콘텐츠나 응용 프로그램등의 불법적인 다운로드는 P2P로 이루어진다. 이전에는 당나귀나 프루나 라는 P2P 프로그램으로 이루어졌으나 요즘은 토렌트라는 응용프로그램으로 넘어와 자료 공유가 무척이나 활발히 이루어지고 있다. 특히 성인동영상이 P2P에서 공유되고 있는 대표적인 미디어 콘텐츠 인데, 이와 같은 미디어로 인해 현재 우리나라에서는 크고작은 성폭력 범죄등이 발생하고 있는 시점이다. 최근에까지만 하여도 웹하드에서 주로 성인물을 쉽게 받아 볼 수 있었는데 근래에 들어 정부와 각 기관들의 강력한 대응으로 웹하드의 사업자 등록화와 저작권물에 대한 강력한 단속등으로 인해 웹하드에서는 우리가 흔히 말하는 '야동'이라는 것을 쉽게 접하지 못하게 되었다. 하지만 아직까지도 토렌트 시드파일을 전문적으.. 더보기 Mac OS X - Live Response (5) 이번에는 사용자의 행동과 관련된 정보들을 찾아 볼 것이다. Mac OS X에서는 사용자의 여러 행동 정보(접근/실행 한 파일 및 디렉토리 등)를 plist로 저장해 두고 있다. [최근 접근한 어플리케이션] 사용자가 최근 접근한 어플리케이션의 정보를 저장하는 plist 파일이 있는데 파일 명은 com.apple.recentitmes.plist(오타 아님)이다. 파일의 위치는 /Users//Library/Preferences 이다. 파일은 실행 프로퍼티 리스트로 plutil로 변환하여 보면 [그림 1]과 같다. [그림 1 - com.apple.recentitmes.plist 파일의 일부분] 한가지 특징으로는 접근한 시간, 즉 타임스탬프를 제공해주지 않는다는 점이다. 그렇기 때문에 해당 정보만을 가지고 특정 .. 더보기 Mac OS X - Live Response (2) [사용자 정보]Mac OS X는 이전에도 말했듯 유닉스를 기반으로 하고 있다. 유닉스는 다중 사용자 시스템으로 여러 사용자들이 동시에 접속하여 어떠한 기능 수행을 할 수 있다. 그렇기에 현재 접속하고 있는 사용자들을 알아 볼 수 있으며 이 정보는 시스템의 전원이 Off 되는 순간 지워져 버린다. 꼭 현재 접속한 기록이 아닌 이전에 접속했던 사용자 기록 또한 찾아 볼 수 있다.먼저 현재 접속한 사용자들의 정보를 수집하여 보자. 이때 사용되는 명령어는 w(who)이다. [그림 1 - w 명령어] 또 현재 원격의 사용자와 로컬 사용자 정보를 알아보는 명령어로 finger 명령어가 있으며 자주 사용되는 옵션은 -lmsp 이다. * 참고 : 해당 명령어는 /etc/passwd에 기초하여 정보를 출력해준다. [그림.. 더보기 디지털 포렌식과 하둡에 관한 고찰 디지털 포렌식 분석과정에 하둡 기술을 적용해 보면 어떨까 하여 고민 해 본 주제에 대한 문서입니다. 기술적인 부분은 빼고 개념적인 부분만 넣어 분량이 되게 적네요....;;;; 현재 프로세스 신뢰성에 대한 하둡 모듈을 개발하고 있습니다만... 개발 완료가 언제가 될지는 모르겠습니다 ^^; 더보기 이전 1 2 3 다음
