본문 바로가기

[+] Forensic

DPAPI DECRYPTION WITHOUT USER PASSWORD 다음은 발표 내용의 요약 글입니다.현재 DPAPI 버전은 사용자의 평문 패스워드의 SHA-1 해시 값을 이용해 데이터를 암/복호화합니다. 원칙적으로 사용자의 평문 패스워드를 획득하는 것은 어려운 일이지만, Windows 8.1 버전 이상부터 새롭게 추가된 ARSO(TBAL) 기능으로 인해 사용자의 평문 패스워드 SHA-1 해시 값을 획득 가능하게 되어 사용자의 평문 패스워드를 획득하지 못하더라도 DPAPI로 암호화된 데이터를 복호화할 수 있습니다. 더보기
[Challenge] dfChallenge 소개 이번 글에서는 dfChallenge에 대해서 소개할 예정입니다. - WebSite: http://dfchallenge.org/ 이번에 국내와 국제를 대상으로 열리는 dfChallenge는 국가정보원이 후원하고 한국정보보호학회가 주관/주최하는 대회입니다. (이미 열려서 진행 중 ㅠㅠ..) 대회의 성격은 DC3 대회와 유사합니다. 여러 분야의 문제가 각 5문제씩 출제되는데, 마지막 문제로 갈수록 현재 답이 존재하지 않는 주제가 주어집니다. 연구 성격을 띄는 문제라고도 설명할 수 있겠네요. 문제 채점 및 순위 결정은 내부 심사위원들이 문제 출제자가 설정한 기준에 따라 평가한 후 점수를 부여해 진행한다고 합니다. 국내에서 열리는 첫 국제 디지털 포렌식 대회인 만큼 많은 관심이 필요할 것 같습니다. 그리고 챌린지.. 더보기
Forensic CheatSheet 앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다. 본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다. 혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다. 사고 분석 시 많은 도움이 되었으면 좋겠습니다. 파일 공개는 회사 블로그로 대체합니다. http://blog.. 더보기
About Volume Serial Number 회사에서 분석을 진행하며 접한 사례를 기반으로 해 회사 블로그에 글을 게재 했습니다. 이런 이유로 Outlink로 블로그 포스팅을 대체합니다. 사고 분석 시 외장저장장치 기록을 분석하다보면 많은 포렌식 분석가들이 활용하는 정보 중 하나가 Volume Serial Number입니다. 일반적으로 포렌식 분석가들이 외장저장장치 구분 시 Volume Serial Number를 많이 사용하는데요. 본 포스팅에서는 Volume Serial Number에 대해 알아보고 포렌식 분석가들이 잘못 판단할 수 있는 사례를 소개합니다. http://blog.plainbit.co.kr/archives/1916 더보기
[Techno2017] Conference 0-1 Day 작년 EnFuse Conference 참석에 이어 올해는 Techno Conference에 참석하였다. Techno Conference는 얼마 전까지 모바일 보안을 주제로 컨퍼런스를 운영 하다가 현재는 보안과 디지털 포렌식을 주제로 변경하여 행사를 개최하고 있다. Techno Conference는 6월 3-7일 동안 여러 세션을 운영하며 참석자가 듣고 싶은 세션을 선택해 들을 수 있도록 EnFuse와 마찬가지로 컨퍼런스 일정 동안 스케줄 관리 앱을 제공한다. 제공되는 앱은 스케줄 관리 뿐만 아니라, 발표자료 보기, 중요 이벤트 알림 등의 기능이 부가적으로 있어 컨퍼런스 일정 동안 아주 편리하게 사용할 수 있다. 떠나기 전 발표 주제를 살피며(EnFuse보다 기술적이라는 이야기를 듣고) 큰 기대를 안고 6.. 더보기