본문 바로가기

분류 전체보기

DPAPI DECRYPTION WITHOUT USER PASSWORD 다음은 발표 내용의 요약 글입니다.현재 DPAPI 버전은 사용자의 평문 패스워드의 SHA-1 해시 값을 이용해 데이터를 암/복호화합니다. 원칙적으로 사용자의 평문 패스워드를 획득하는 것은 어려운 일이지만, Windows 8.1 버전 이상부터 새롭게 추가된 ARSO(TBAL) 기능으로 인해 사용자의 평문 패스워드 SHA-1 해시 값을 획득 가능하게 되어 사용자의 평문 패스워드를 획득하지 못하더라도 DPAPI로 암호화된 데이터를 복호화할 수 있습니다. 더보기
[Challenge] dfChallenge 소개 이번 글에서는 dfChallenge에 대해서 소개할 예정입니다. - WebSite: http://dfchallenge.org/ 이번에 국내와 국제를 대상으로 열리는 dfChallenge는 국가정보원이 후원하고 한국정보보호학회가 주관/주최하는 대회입니다. (이미 열려서 진행 중 ㅠㅠ..) 대회의 성격은 DC3 대회와 유사합니다. 여러 분야의 문제가 각 5문제씩 출제되는데, 마지막 문제로 갈수록 현재 답이 존재하지 않는 주제가 주어집니다. 연구 성격을 띄는 문제라고도 설명할 수 있겠네요. 문제 채점 및 순위 결정은 내부 심사위원들이 문제 출제자가 설정한 기준에 따라 평가한 후 점수를 부여해 진행한다고 합니다. 국내에서 열리는 첫 국제 디지털 포렌식 대회인 만큼 많은 관심이 필요할 것 같습니다. 그리고 챌린지.. 더보기
Forensic CheatSheet 앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다. 본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다. 혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다. 사고 분석 시 많은 도움이 되었으면 좋겠습니다. 파일 공개는 회사 블로그로 대체합니다. http://blog.. 더보기
About Volume Serial Number 회사에서 분석을 진행하며 접한 사례를 기반으로 해 회사 블로그에 글을 게재 했습니다. 이런 이유로 Outlink로 블로그 포스팅을 대체합니다. 사고 분석 시 외장저장장치 기록을 분석하다보면 많은 포렌식 분석가들이 활용하는 정보 중 하나가 Volume Serial Number입니다. 일반적으로 포렌식 분석가들이 외장저장장치 구분 시 Volume Serial Number를 많이 사용하는데요. 본 포스팅에서는 Volume Serial Number에 대해 알아보고 포렌식 분석가들이 잘못 판단할 수 있는 사례를 소개합니다. http://blog.plainbit.co.kr/archives/1916 더보기
블로그 관리를 영 못하고 있네요. 실무에서 일을 한지 벌써 5년차에 접어들었습니다. 학생 때는 빨리 실무를 경험하고 싶었고, 경험한 내용을 블로그에 정리하고 싶었지만 여러가지 이유로 그러지 못하다 보니 자연스레 블로그에 관심을 두지 않게 되었습니다. 5년전과 지금을 비교해보면 많은 변화가 있었습니다. 국내 많은 곳에서 강의도 하고, 디지털포렌식과 관련된 대회도 운영하며 많은 사람들을 만나고 많은 사건 사고를 분석했습니다. 그로 인해 책으로 공부하지 못하는 경험을 얻었고, 현재 디지털포렌식 실무에서 무엇이 문제이고, 어떻게 해결을 해나가야 하는지에 대한 것들이 현재는 제게 큰 재산으로 남아 있습니다. 그래서 지금 고민하고 해결해야 할 것들을 두가지 형태로 공유하고자 합니다. 학생 때 처럼 매번 시간을 내서 블로그에 글을 올리지 못하는 것은.. 더보기