2013년 후반기에 전 세계에서 가장 많이 쓰는 BitTorrent를 개발한 회사에서 또 하나의 야심작을 개발하여 대중들에게 내놓았다. 기존에 있던 몇몇 클라우드들의 독점을 막기 위해 자신들의 장점인 P2P 기술을 이용 해 퍼스널 클라우드 서비스를 제공한 것이다.

간단하게 말하면, 개인이 자신이 소유하고 있는 PC에 클라우드 서버를 구축하여 플랫폼과 기종 상관없이 데이터를 공유해주게 한다는 것이다. 이를 가능하게 하는 소프트웨어의 이름, 그리고 프로젝트 명을 BitTorrent Sync라 하여 현재 베타버전을 선보이고 있다.


 베타버전이기는 하나 전세계적으로 이미 사용자가 200만을 넘어서 급격한 인기추세를 보이고 있는데, 아래는 한 기사에서 발췌한 자료 이미지이다.


그림 1 - Dropbox와 비교한 BitTorrent Sync의 사용 추세


 이렇게 급격하게 사람들이 사용하는 이유는 무엇일까? 정리해보자면 몇가지가 있는데 이는 다음과 같다.


 - 제한 없는 트래픽 : 해당 서비스는 개인 PC를 이용하는 것이기 때문에 개인 PC에 인터넷만 연결되어 있다면 무제한으로 클라우드 서비스를 이용 할 수 있다.


 - 모든 플랫폼을 지원 : 초창기 서비스 때는 아니었지만 최근에 들어 iOS까지 지원하여 현재는 모든 플랫폼에서 사용 가능하여 모든 이들의 요구를 충족하였다.


 - 프라이버시 보호 : 기존의 클라우드 서비스들은 결국 다른 회사에 내 정보를 위탁하는 개념이었다. 이런 이유로 클라우드 서비스 회사들은 해커들의 많은 공격을 받았는데, 해당 서비스를 사용하면 자신의 컴퓨터에 자신의 데이터를 저장하는 경우가 되어 일반 클라우드 서비스를 사용하는 것보다는 안전하게 된다. 또 현재 트래픽 암호화 등을 서비스하기 위한 움직임이 있어 앞으로 더 안전해질 것으로 예상되어 사용률이 늘어난 것으로 보인다.


 - 빠른 다운로드 속도 : P2P 기술을 사용하기 때문에 회사나 어떤 그룹에서 이 서비스를 사용한다면 참여하는 사람이 많아 질수록 속도는 더욱 더 빨라진다는 특징이 있다.


 위에서는 장점만을 이야기하였지만 단점도 존재하지 않을까? 단점을 언급하자면 다음과 같다.


 - 클라우드 서버 PC는 항상 ON : 클라우드 서버 PC가 꺼져 있으면 파일 공유가 불가능하기 때문에 항상 서버 PC는 켜져 있어야 한다.


 - 모바일 기기의 데이터 소모 : 동기화라는 부분 때문에 모바일 기기의 데이터(3G, 4G 등)이 일시적으로 많이 소모 될 수 있다. 하지만 이는 동기화 옵션 설정으로 예방 할 수 있다.


 큰틀에서 본다면 단점도 분명히 존재하지만 단점을 수용할만큼 장점의 매력적이기 때문에 해당 서비스를 이용하는 사람들이 급격하게 늘어나는 것으로 보인다.


1. 디지털 포렌식 관점에서의 BitTorrent Sync

 이런 추세는 사실 디지털 포렌식에서는 조금은 반갑게 보이기도 한다. 왜냐하면 기존에 클라우드 서비스에 대한 디지털 포렌식을 수행 할 때 고려되었던 데이터의 위치 등에 대한 문제가 어느정도 해결되기 때문이다. 클라우드 서버에 대한 압수수색등을 할 때 데이터의 위치 등을 고려해야 하기 때문에 증거와 관련된 데이터 압수등이 불가할 때가 있었는데 해당 서비스는 개인 PC에서 클라우드 서버를 구축하기 때문에 기존에 압수수색처럼 증거를 압수할 수 있기 때문이다.

해당 서비스는 P2P의 윗 단에서 행해지는 서비스이므로 기존의 BitTorrent를 대상으로 한 디지털 포렌식과 대부분 비슷하나 사용되는 소프트웨어의 특징이 조금 다르므로 이 글에서 이 부분을 짚고 넘어가보도록 하겠다.


 1.1 동기화 코드

처음에 BitTorrent를 설치하면 동기화를 위한 코드를 서버 PC 측에서 확인 할 수 있다. 해당 코드를 클라이언트 PC에서 입력하면 동일한 코드를 가진 서버/클라이언트 PC는 동기화를 통해 데이터의 공유가 이루어진다.


그림 2 - 동기화 코드 입력 화면(출처)


해당 코드는 초기 설치 때 설정하는 동기화 폴더에 숨은 파일(파일명 .SyncID)로 서버와 클라이언트 모두 존재한다. 파일로 존재하기 때문에 파일을 덮어씌우는 행위만으로도 서버와 동기화가 가능하다.


그림 3 - 동기화 코드 파일


 1.2 업로드 파일 Archive

동기화 폴더에 보면 숨김 속성으로 .SyncArchive 폴더가 존재한다. 해당 폴더는 해당 클라이언트 PC가 동기화를 했던 파일들의 복사본이 존재한다. 


그림 4 - 동기화  된 파일들의 복사본


그러므로 서버에 접속하지 않아도 쉽게 클라이언트가 공유한 데이터들을 수집 할 수 있다. 파일을 건드리지 않았다면 시간 값 모두 공유한 시각을 나타낸다.


 1.3 데이터 목록 유지 DB

 클라우드 서버 PC의 경우 아래 경로에 SQLite3 파일로 서버에 업로도 된 파일들의 목록을 유지한다.


C:\Users\Administrator\AppData\Roaming\BitTorrent Sync


그림 5 - BitTorrent Sync의 여러 가지 파일들


해당 DB 파일은 간단한 테이블로 구성되어 있다. file 테이블과 meta 테이블로 구성되어 있는데 공유된 파일 또는 데이터의 목록은 file 테이블에 저장되어 있다.


그림 6 - 공유 된 데이터 목록


 1.4 기타

BitTorrent Sync의 여러 가지 파일들이 있는 곳에서 sync.log를 보면 동기화 로그를 볼 수 있지만, 프로그램이 종료되면 로그는 모두 삭제 된다. 또 sync.pid 파일은 프로그램의 실행 당시 프로세스 아이디를 가지고 있다. sync.dat과 settings.dat 파일은 동기화 옵션과 프로그램 설정 값을 저장하고 있다. 형태는 토렌트 프로그램의 설정파일과 같아 쉽게 분석이 가능하다.

마지막으로 윈도우의 경우 레지스트리를 살펴보아야 하지만 살펴본 결과, 특징적인 흔적을 남기지 않았기 때문에 이 글에서는 따로 언급하지 않는다. 또 프로토콜 또한 데이터 공유를 위한 BitTorrent 프로토콜과 데이터 전송을 위한 UDP 프로토콜을 사용하는데 기존의 BitTorrent 프로그램과 동일하기 때문에 이 글에서 언급하지 않도록 하겠다.


결국 사용자가 따로 무엇을 건드리지 않고 그대로 사용한다면 파일이 삭제가 된다 하더라도 쉽게 공유 된 파일들의 데이터를 획득 할 수 있고 서버와 클라이언트를 분석하면 알고자 하는 당시의 환경과 공유 상태, 파일 원본/목록을 구현 할 수 있다.



2. 보안 관점에서의 BitTorrent Sync

 역시 편리한 기능은 악의적으로 사용되기 쉽다. 현재 베타버전이지만 개발자 API를 제공하고 있는 만큼 악성코드에 사용될 가능성이 많다. 더군다나 P2P 기반이기 때문에 웜 형태의 악성코드가 해당 서비스의 API를 사용 해 자신을 전파한다면 그 속도는 기존의 웜 전파 속도보다 더 빠를 것이다. 여기에 트래픽 암호화까지 지원된다면 분석가들의 분석은 쉽지 않을 것이다.



정말 재밌는 서비스이고 앞으로의 성장을 지켜볼만한 가치가 있는 것 같다. 보안측면에서도 기술의 발전을 지켜보고 이를 악용하는 사례에 대해 대처하기 위해 선행 연구가 지속되어야 할 것으로 보인다.


 대부분의 사람들은 GPS라는 단어를 알고 있다. 알고 있는 이유 중 가장 큰 것은 우리가 매일 사용하고 있는 스마트폰에 GPS 기능이 있기 때문일 것이다. 이렇듯 GPS는 우리 생활 깊숙히 들어와 있지만 대부분의 사람들은 GPS의 중요성을 인식하지 못하고 있고, 위험성 또한 인식하지 못하고 있다.


 GPS를 쉽게 설명하자면 "인공위성을 통해 우리들의 위치를 파악해주는 기술 또는 장치" 라고 할 수 있다. 좀 더 학문적인 의미를 들여다 보면 다음과 같다.


GPS(Global Positioning System 글로벌 포지셔닝 시스템) 또는 범지구위치결정시스템은 현재 완전하게 운용되고 있는 유일한 범지구위성항법시스템이다.


GPS는 초기에 미국 국방부에서 군사목적으로 개발하였지만, 기술이 발전하여 지금은 여러 곳에서 활용되고 있다. 초기 개발을 미국 국방부에서 하여 현재까지도 GPS에 전반적인 관리는 미국 공군 제50우주비행단에서 하고 있다. 


 위치를 파악하는 원리는 의외로 간단하다. 인공위성에서 발사한 전파를 GPS 수신기가 수신하고 관측점 까지의 전파 도착 소요시간을 측정하여 위치를 구하는 원리이다.


 그렇다면 디지털 포렌식에서는 왜 GPS가 중요한 것일까? GPS는 특정인의 동선과 위치를 파악 할 수 있는 직관적이면서 정확한 정보이기 때문에 수사관점이나 침해사고 분석 관점에서 굉장히 중요하다고 할 수 있다. 각각의 예를 들어보자면 다음과 같다.


1) 수사 관점(가상)

 - 범죄자 차량에 부착되어 있던 블랙박스 또는 네비게이션의 GPS 정보를 분석하면 범죄자의 동선을 파악할 수 있다.


2) 침해사고 분석 관점(실제)

 - 어떤 침해사고 범죄자가 웹 사이트 관리자를 우롱하기 위해 자신의 여자친구 사진을 해킹한 웹 사이트 메인에 걸어두었다. 하지만 이 사진에는 GPS 정보가 포함되어 있었고 이 정보로 인해 범죄자는 검거 되었다.


 위 예시들에서 보듯이 GPS 정보는 누군가를 찾아가기 위해서는 절대적으로 필요한 정보이다. 이런 이유로 디지털 포렌식에서는 GPS와 관련된 연구가 중요하다. GPS Forensic은 공인된 명칭은 아니다. 때로는 GPS Exploitation, 위성 항법 수사 등으로 불리기도 한다.


 이번 글에서 전반적인 GPS Forensics에 대해서 알아 볼까 한다.


1. GPS 시스템 구성

 GPS의 구성은 총 3가지의 영역으로 구성 된다. 


 1.1 Space Segment(SS, 우주 영역)

 GPS가 지구 주위를 돌고 있을 때의 궤도와 GPS 위성들을 의미한다. 해당 영역에는 현재 총 30개 이상의 위성이 고루 분포 되어 있고 이 위성들 중 24개의 위성이 항법에 사용되어 우리가 지구 어디서든 GPS를 사용 할 수 있게 지원한다. 아래 그림을 보면 대략적으로 우주 영역을 파악 할 수 있다.


그림 1 - 우주 영역 애니메이션(출처 위키)


 1.2 Control Segment(CS, 제어 영역)

 해당 영역은 GPS 위성을 관리하고 추적하는 지상의 제어국을 의미한다. 지상의 제어국은 하와이, 콰절런, 어센션 섬, 디에고 가르시아 섬과 콜로라도 스프링스에 있고 다섯 군데의 제어국에서 미국 지리정보국의 운영 하에 위성을 추적한다. 위성을 추적한 정보는 콜로라도 스프링스의 슈리버 공군기지로 전송된다. 콜라라도 스프링스의 수리버 공군기지를 제외한 네 군대 제어국은 부 제어국으로 분류되고 슈리버 공군기지는 주 제어국으로 분류 된다. 참고로, 주 제어국은 미국 공군 제 2 우주 작전 대대에서 운영한다.


 1.3 User Segment(US, 사용자 영역)

 사용자 영역은 GPS 수신기를 의미한다. 예를 들어 우리가 지금 이 시간에 사용하고 있는 스마트폰이 대표적으로 우리에게 친숙한 사용자 영역이라고 할 수 있다. GPS 수신기는 GPS 위성에서 송신하는 주파수에 동조된 안테나, 수정발진기등을 이용한 정밀한 시계, 수신된 신호를 처리하고 수신기 위치의 좌표와 속도 벡터 등을 계산하는 처리장치, 계산된 결과를 출력하는 출력장치 등으로 이루어져 있다.


2. GPS 원리

 위에서도 간단하게 GPS 원리를 설명하였지만 조금 더 자세히 설명해보도록 하겠다. 위치 계산은 인공위성이 보낸 신호를 수신기가 받을 때 시간 계산으로 구해지게 되는데 이때 인공 위성과 수신기는 시간의 오차를 줄이기 위해서 GPS 위성은 고정밀의 원자 시계를 가지고 있으며, GPS 수신기는 필요한 정밀도에 따라 원자 시계 또는 수정발진기를 이용한 시계를 가지고 있다. 


 인공위성으로부터 반송파에 실려 보내진 C/A 코드를 GPS 수신기가 감지하면 똑같은 코드를 생성해 두 코드의 시간차를 측정한다. 측정 된 두 코드의 시간차에 전파속도(빛의속도)를 곱하면 GPS 위성과 수신기 사이의 거리가 구해진다. 하지만 이는 정확하지 않은 의사거리(pseudorange)이므로 GPS 위성으로부터 수신한 신호에 포함되어 있는 항법 메시지 계수를 이용해 보정한다. 이런 이유로 우리는 쉽게 GPS 반경의 오차가 있다는 메시지를 확인 할 수 있는 것이다.


 계산 된 위치는 세계측지계인 WGS84 좌표법에 따라 계산된다. WGS84는 국제 표준이며 각 장비는 자신이 사용하고자 하는 좌표계로 해당 좌표를 쉽게 변환 할 수 있다.


3. GPS 활용 범위

 GPS는 정말 많은 부분에서 활용되고 있다. 간단하게 그림으로 표현하면 다음과 같다.


그림 2 - GPS 활용 범위


 휴대용 가전제품은 말할 것도 없이 스마트 폰, 디지털 카메라 등에서 사용되고 있는 GPS 기능을 생각하면 되고, 요즘 출시 되는 자동차는 네트워크 기능이 탑재되어 있어 GPS 기능도 지원을 하고 있다. 해양 부분은 선박의 위치를 파악하기 위해 GPS를 사용하고 있는 것을 생각하면 된다. 마지막으로 항공은 우리가 비행기를 탔을 때 휴대폰을 잠시 꺼두라는 승무원의 이야기를 들었다면 쉽게 이해가 갈 것이다. 이는 휴대폰에서 나오는 전파로 인해 비행기가 관제탑과의 교신, GPS 위치 계산에 방해를 받지 않기 위함이다.


4. 디지털 포렌식 관점에서의 GPS 정보

 사실 GPS 자체의 정보라기 보다는 GPS 기능을 사용하는 장비가 가지고 있는 정보라고 봐야 한다. 하지만 대부분 GPS 기능을 이용함으로써 생성되는 정보이기 때문에 GPS 정보라고 통칭하도록 하겠다. 정보들을 나열 해 보면 다음과 같다.


 1) 추적로그 : 간혹 어떤 장비들은 GPS 정보들을 로깅하기도 한다. 이 정보는 분석가가 직접 GPS 정보를 트래킹 할 필요를 없애주는 아주 중요한 정보이다.


 2) 경로 중간점 및 동선 : 경로 중간점은 대략적인 경로의 방향을 알 수 있는 부분이고, 동선은 정확히 어떤 경로를 이용하였는지 알 수 있는 정보이므로 굉장히 중요한 정보이다. 이 정보를 장비 자체에서 제공하는 경우도 있고 아닌 경우도 있으니 참고하기 바란다.


 3) 사용자가 저장한 위치(즐겨찾기) 또는 최근 경로 : 이 정보의 대표적인 예로는 네비게이션을 이용 할 때 사용자가 자주 가는 곳을 사용자가 직접 저장하는 경우와 네비게이션의 최근 목적지 저장 기능이 있다. 간혹 네비게이션이 자체적으로 경로들을 카운팅하여 사용자의 자주 가는 목적지 등을 판별 해주기도 한다.


 4) MAC ID : 이 정보는 기기의 고유성을 입증해주는 정보이다.


 5) 기타 : 이외에도 동영상, 사진 및 오디오 등이 있으며 기기 자체적인 로그가 있다.


5. GPS 데이터 포맷

GPS 데이터 포맷은 정확히 말하자면 업체 장비 별로 다르다. 하지만 전체적인 데이터 포맷은 표준을 따르고 있어 크게 다르지 않다. 대표적으로 NMEA 0183, GGA & GSA, GSV, RMC, VTG, RINEX 등이 있다. 각 데이터 포맷중에서 NMEA 0183이 사실상 산업표준이고, 또 분석가에게도 분석하기 쉬운 포맷이다. 그 이유는 데이터 포맷 자체가 ASCII 폼을 사용하고 있기 때문에 각 필드의 의미만 알면 분석 할 수 있기 때문이다.


각 데이터 포맷은 여기를 참고하기 바란다. 예시와 함께 설명이 잘 되어 있다.


6. GPS Forensics Tool

 이미 해당 분야에 많은 연구가 이루어져 있어 분석 도구가 출시되어 있다.


 - Magellan MapSend Manager

해당 도구는 경로 확인은 물론 편집 기능과 데이터 포맷을 변환할 수 있다.


그림 3 - MapSend Manager


 - EasyGPS

앞서 소개했던 도구와의 데이터 이동이 가능한 특징이 있으며, GPS 경로의 시각화를 지원한다. 또 GPS 데이터와 편집한 중간지점에 대한 백업 기능을 지원한다.


그림 4 - EasyGPS


 - GPS Utility

해당 도구는 GPS 기기와 동기화 된다는 것이 특징이다. 해당 도구도 위 도구와 마찬가지로 시각화를 지원하는데 다른 점이라면 2차원 지도 위에서 시각화를 지원해 좀 더 정확한 경로 파악이 가능하다는 점이다.


그림 5 - GPS Utility


 - Forensic Analyser

직관적인 UI가 특징이다. 네비게이션에 특화되어 있으며 장치를 자동으로 분석하여 경로를 표시하여 준다.


그림 6 - Forensic Analyser


 - TomTology

 위 도구들은 GPS 시각화 도구였다면 이번에 소개할 도구는 전문적인 GPS 장비 포렌식 도구이다. 데이터의 실시간 디코딩은 물론 장비 내에 저장공간에서 삭제된 경로 정보등을 복구 해 주어 분석을 도와준다. 경로나 위치는 구글 어스를 통해 사용자에게 시각화하여 준다.


6. GPS Forensics 고려사항

 디지털 데이터는 수정이 쉽다는 것이 특징이다. GPS 정보 또한 디지털 데이터이므로 변조가 가능하다. 과연 어떻게 우리가 분석할 정보들을 신뢰할 수 있을까? 육로에서는 가장 쉬운 것이 CCTV와의 대조이다. 특히 우리나라는 하루평균 CCTV에 한사람이 노출되는 횟수가 27번 정도에 달한다. 그러므로 자동차의 경로나 사람의 경로를 추적 할 때 CCTV와 대조해본다면 쉽게 데이터 조작 여부를 판단 할 수 있다.


 외국에서는 데이터 조작 뿐만이 아닌 기기 자체의 변조여부도 생각하여 비영리단체에서 네비게이션을 위주로 해시셋을 만드는 활동이 진행 중이다. GPS Forensics.org에서 해당 활동을 하고 있는데 여기에서 생성한 해시셋은 우리나라에는 적용이 되지 않으므로 우리나라 또한 해시셋을 생성하여 비영리목적으로 제공하는 활동이 필요해 보인다.


7. 마치며

 GPS Forensics는 수사나 침해사고 분석에 있어서 필수적인 요소는 아니지만 부가적인 분석을 통해 그 이상의 가치를 찾을 수 있는 과정이기 때문에 필요한 연구가 미리 선행되어야 한다고 본다. 하지만 아직까지 우리나라에서 사용되는 여러 제품들에 대한 깊이 있는 연구와 매뉴얼이 부족하므로 누군가가 발벗고 나서서 이러한 연구를 주도해야 한다고 생각한다. 외국처럼 해시셋은 둘째치고 각 제품들의 특징과 분석 매뉴얼, 분석 자동화에 대한 연구가 하루 빨리 진행되었으면 하는 바람이다.




  1. 이주아빠 2014.04.11 11:08

    좋은 글 잘보았습니다. 감사합니다^^

Get Windows Logon Password using Wdigest in Memory Dump EN Ver


We are in the physical memory window of the room to recover the password was investigated.

As a result of the study was to develop plug-in Cibola utility, which you use to for many people to share the knowledge.


외부 보조저장장치를 PC에 연결하여 포렌식 목적으로 분석을 수행하거나 이미징을 할 때에는 증거의 무결성을 위해 쓰기방지장치가 반드시 있어야 한다. 내가 저장장치에 쓰기 행동을 하지 않는다고 하더라도, 시스템이 동작하는 도중 어떤 프로세스가 어떤 데이터를 저장장치에 쓸 수도 있기 때문이다. 하지만, 개인이 하드웨어 쓰기방지장치를 구매하기란 쉽지 않다. 그래서 이 글에서는 간단하게 윈도우(Windows 7) 운영체제에서 레지스트리를 이용 해 소프트웨어적인 쓰기 방지 기능을 구현하는 방법을 설명하고자 한다.


 - HKLM\SYSTEM\CurrentControlSet\Control\


위 레지스트리 경로로 이동하여 "StorageDevicePolicies" key를 생성하고 하위에 "WriteProtect" 이름의 DWORD 형 value를 생성한다.


[그림 1 - 쓰기방지 설정]


해당 value는 0의 값을 가지면 쓰기방지 기능을 해제한다는 것을 의미하며 ,1의 값을 가지면 쓰기방지 기능을 설정한다는 것을 의미한다.


설정 한 후 외부 보조저장장치에 파일 등을 저장하려고 시도하게 되면 다음과 같은 대화창을 보게 되면서 저장이 되지 않는다. 물론 읽는 것은 가능하다.


[그림 2 - 쓰기방지 기능 확인]


p.s - 디지털 포렌식 전문가 2급 실기 때 증거 수집 사항을 보고서에 기술 할 때 해당 내용이 꼭 있어야 한다.

  1. 111 2013.11.27 18:15

    이미징을 다하고 USB를 제거할떄는 어떻게하나요? 그냥 장치관리자에서 저가하기 하면 되나요?

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2013.11.27 18:51 신고

      네, 안전하게 제거하기 기능을 이용하시거나 그냥 제거하시면 됩니다.

  2. yhsang2 2014.05.24 19:31

    적어주신대로 레지스트리 경로따라가봤지만 StorageDevicePolicies 라는것이 없습니다. 그런데 c드라이브에 한 폴더(usb x)에 쓰기 방지가 걸려있습니다. 이것때문에 이동도안되고 삭제도안되고 이름변경도 안됩니다. 혹시 외부보조장치에 쓰기방지를 거는것이 아니고 일반폴더에도 레지스트리를 이용해서 쓰기방지를 걸수있습니까?

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2014.05.25 12:58 신고

      글을 잘 읽어보시기 바랍니다. StorageDevicePolicies를 생성하라고 적혀 있네요 ^^..

      레지스트리 설정으로 특정 폴더에 쓰기방지를 걸 수는 없는 것으로 알고 있습니다.

      현재 상태에서는 권한문제로 보이는데, 권한을 한번 살펴보시기 바랍니다.

      또 특정 소프트웨어로 해당 폴더를 쓰기방지하였을 수도 있으니 소프트웨어가 사용되었는지도 살펴보시기 바랍니다.

  3. 익명 2015.11.04 12:58

    비밀댓글입니다

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2015.11.24 10:01 신고

      이 방법 말고도 요즘은 소프트웨어로 많이 구현되어 배포되고 있으니 소프트웨어를 사용해 보시기 바랍니다. ^^

For.MD에서 배포하는 기술문서입니다.


해당 문서는 윈도우 메모리에서 로그온 계정 정보를 추출하는 방법을 위주로 설명되어 있습니다.


문서에서 언급하는 방법은 메모리 분석 도구인 볼라틸리티 플러그인으로 제작되었으며, 문서에 다운로드 URL이 포함되어 있습니다.


플러그인은 결론에서 언급한 여러가지 연구 방향을 진행하여 여러 기능을 추가한 후 다듬어 정식 플러그인을 등록 할 예정 입니다. :)


재밌게 봐주세요 ^^


[목차]

1. 서론

2. 윈도우 인증 패키지

3. 라이브 상태에서 윈도우 로그온 패스워드 추출

4. 메모리 덤프에서 윈도우 로그온 패스워드 추출

5. Volatility Plugin - logon

6. 결론





[For.MD]Windows Logon Password.pdf


+ Recent posts