포렌식 썸네일형 리스트형 [메모] Windows 8과 2012 Sever의 크래시 덤프 Windows 8이전 버전에서는 크래시 덤프의 종류를 일반적으로 작은 메모리 덤프, 커널 메모리 덤프, 전체 메모리 덤프(Windows 7 에서는 존재하지 않음)라고 말할 수 있었다. 하지만 Windows 8 버전에서부터는 3가지 덤프 종류 외에 "자동 메모리 덤프"라는 종류가 하나 더 추가되었다. 또 자동 메모리 덤프는 Windows 8의 기본 크래시 덤프로 설정되어 있다. [그림 1 - Windows 8의 크래시 덤프 설정 대화상자] 새롭게 추가 된 자동 메모리 덤프를 새로운 크래시 덤프의 종류로 생각할 수도 있지만, 사실 자동 메모리 덤프의 내용을 보면 새롭지 않다는 것을 알 수 있다. 자동 메모리 덤프가 수행되면 커널 메모리 덤프와 동일한 내용을 pagefile.sys에 저장하고 그 내용을 토대로.. 더보기 Torrent Forensic Artifact 흔히 어떤 미디어 콘텐츠나 응용 프로그램등의 불법적인 다운로드는 P2P로 이루어진다. 이전에는 당나귀나 프루나 라는 P2P 프로그램으로 이루어졌으나 요즘은 토렌트라는 응용프로그램으로 넘어와 자료 공유가 무척이나 활발히 이루어지고 있다. 특히 성인동영상이 P2P에서 공유되고 있는 대표적인 미디어 콘텐츠 인데, 이와 같은 미디어로 인해 현재 우리나라에서는 크고작은 성폭력 범죄등이 발생하고 있는 시점이다. 최근에까지만 하여도 웹하드에서 주로 성인물을 쉽게 받아 볼 수 있었는데 근래에 들어 정부와 각 기관들의 강력한 대응으로 웹하드의 사업자 등록화와 저작권물에 대한 강력한 단속등으로 인해 웹하드에서는 우리가 흔히 말하는 '야동'이라는 것을 쉽게 접하지 못하게 되었다. 하지만 아직까지도 토렌트 시드파일을 전문적으.. 더보기 N Drive Forensic Artifact 글쓴이는 주변 분들을 대상으로 하나의 설문조사(?)를 했었다. 자주 사용하는 클라우드 서비스가 무엇이냐는 질문에 대한 답변을 조사하는 것이었는데 설문의 결과를 종합해 보니 어느정도 예상하는 순위들이 정해졌다. 1. N 드라이브2. 다음 클라우드3. U 클라우드4. 아마존 클라우드5. 구글 드라이브 글쓴이는 시간이 허락하는대로 위 5가지의 흔적들을 조사 해 포스팅하고자 한다. 이번 글은 당연히 N 드라이브에 대한 흔적들을 소개하고자 한다. 글쓴이는 이전에 클라우드 포렌식이란 주제로 글을 써 포스팅한 적이 있다. 그 글에서 클라우드의 현재 문제점 때문에 클라이언트 측의 장비를 중심으로 여러 증거들을 수집해야 한다고 했었는데 이 글에서 클라이언트에서 어떠한 흔적과 증거들을 발견 할 수 있는지 소개하겠다. 일단.. 더보기 Exif 포맷의 사진 데이터 조작 여부 판단 방법 요즘은 휴대용 기기에 카메라가 거의 필수적으로 부착되어 사용되고 있다. 이 사진들은 대부분 JPEG 파일로 저장되며 그 사진 정보의 형태는 Exif 라는 포맷으로 사진 내부에 저장 된다. Exif 포맷에는 사진의 기본정보부터 시작하여, 사진을 찍은 기기의 모델명, 날짜, 렌즈 종류, GPS 등의 많은 정보가 저장되어 있다. 만약 어떤 사진이 수사나 어떤 사고에서 중요한 역할을 할 때 대부분의 조사관들은 Exif 포맷의 정보를 분석 해 이미지의 전반적인 정보를 알아내어 자신이 현재 진행하고 있는 업무에 적용하곤 한다.(해커그룹 체포에 도움이 된 Exif GPS 정보에 관한 기사 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120416153845)하지만.. 더보기 iOS Forensic - (3) 이전 글까지는 iOS의 분석을 위한 이미지 데이터 획득과 분석 방법에 대하여 아주 간단하게나마 알아보았었다. 하지만 이번 글에서는 잠시 그 이전으로 돌아가 모바일 장치를 획득 했을 때 조치하거나 확인해야 하는 부분들을 언급하고자 한다. 조사관이 모바일 장치를 얻었을 경우 포렌식으로서 가장 중요한 것은 무엇인가? 바로 분석 데이터 보존이 아닐까? Apple 社에서는 이와 반대되는 기능으로 원격에서 해당 장치의 데이터를 완전 삭제 할 수 있는 기능을 제공하고 있다. 이 기능을 사용하기 위해서는 MobileMe 계정이 필요한데 이 계정만 알고 있으면 어디서든지 자신의 모바일 장치 데이터를 완전 삭제 할 수 있다. 만약 조사관이 획득한 모바일 장치의 MobileMe 계정을 모바일 장치 주인뿐만이 아닌 배우자나 .. 더보기 이전 1 2 3 4 5 ··· 28 다음
