일전에 올렸던 글에서 사용했던 도구를 공개합니다.


파이썬 2.7 버전으로 작성되었고, 필요한 라이브러리는 압축 파일 내부에 소개되어 있습니다.



jp 배포.zip


'[+] Forensic' 카테고리의 다른 글

시간 변화 별 행위 파악 엑셀 시트  (3) 2014.12.11
[정리] Linux Timestamp Change Table  (2) 2014.09.11
[Tool] Windows JumpList Analysis Tool  (0) 2014.08.11
[Tool] Windows Link Analysis Tool  (0) 2014.08.11
[정리] Havex Artifacts  (0) 2014.06.30

제가 집필한 '디지털 포렌식의 세계' 책이 문화체육관광부가 선정한 2013년도 우수학술도서로 선정되었습니다.


다시 한번 많은 관심과 구매(?) 감사합니다 :)





문화체육관광부에서 800만원 어치의 책을 구매 해 전국 도서관에 배부한다고 하니 대부분 도서관에서 접하실 수 있으실 듯 합니다.


아래는 원 문서입니다.



선정도서 목록.pdf


코드게이트가 끝났으므로 해당 문서를 공개합니다.


이번 코드게이트 포렌식 본선 400점 문제가 이번 공부를 하면서 출제 했던 문제입니다.


해당 문서에는 디지털 이미지의 합성 여부등을 판별하기 위한 기술들이 소개 되어 있습니다. 


자세한 원리 또는 수행 방법은 링크등으로 제공되고 있으니 참고하시기 바랍니다 :)


[목차]

1. 서론

2. 이미지 관련 법

 2.1. 명예회손

 2.2. 초상권침해

 2.3. 그 외 기타

3. 이미지 분석 방법(접근법)

 3.1. 이미지 내용 속 관찰

  3.1.1. 이미지 관찰 예시

 3.2. 이미지 퀄리티 향상 기법

  3.2.1. Motion Deblurring

  3.2.2. UnDistort

  3.2.3. Periodic Noise Removal

  3.2.4. Rational Sharpening

  3.2.5. Contrast/Brightness

  3.2.6. Line Shift

 3.3. 동영상 퀄리티 향상 기법

  3.3.1. Frame Averaging

  3.3.2. Histogram Equalization

4. 기타 이미지 분석 기술

 4.1. Vanishing Point

 4.2. Measure

 4.3. 이미지 파일 메타데이터

  4.3.1. 수정 여부 판별 방법

 4.4. Image Search

 4.5. Camera 기종에 따른 이미지 분석

 4.6. Shadow Analysis

 4.6.1. [사례 분석] 독수리가 아기를 납치했어요!

5. 이미지 분석 도구

6. 결론




DIGITAL IMAGE FORENSIC.pdf


  1. 2013.04.15 01:15

    비밀댓글입니다

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2013.04.21 17:36 신고

      감사합니다 ㅎㅎ 아직 실력이 많이 부족하네요 ㅠㅠ

  2. BlogIcon 트라 2013.04.21 16:58

    좋은 예시를 통한 좋은글 감사합니다 ^^

  3. 2013.09.30 09:13

    비밀댓글입니다

지금까지 Internet Explorer는 많은 발전을 해왔고 인터넷 역사에 한 획을 그었다고 할 수 있다. 그만큼 사람들이 많이 사용하는 브라우저이기 때문에 디지털 포렌식 관점에서도 브라우저에서 생성 되는 디지털 흔적들을 많이 발견하는 연구가 진행되어 왔다. 그 연구 성과들은 인터넷 검색을 통해 쉽게 접할 수 있는데, 이번 Internet Explorer는 이전(IE 9)과는 그 흔적의 위치가 달라 따로 이렇게 글을 남겨본다.


Windows 7 까지 기본적으로 포함되어 있던 IE는 쿠키나 히스토리 등의 흔적을 각각의 index.dat 파일로 남겼었다. 하지만 Windows 8에 포함되어 있는 IE10은 이런 index.dat 파일이 존재하지 않는다.


[그림 1 - Windows 8의 History 디렉토리]


이전과 동일 했다면 [그림 1]에서 보이는 경로에는 container.dat이라는 파일 대신 index.dat 파일이 존재해야만 한다. Windows 8에는 index.dat 파일 대신 container.dat이라는 파일이 각 디렉토리에 존재하는데 이 파일에는 아무런 데이터가 저장되어 있지 않다.

이렇듯 Windows 8에는 index.dat 파일이 존재하지 않고 index.dat 파일의 데이터를 모두 WebCacheV24.dat 라는 하나의 파일로 통합시켜 그 흔적을 저장하고 있다.  WebCacheV24.dat 의 파일 경로는 다음과 같다.


 - \Users\%User name%\AppData\Local\Microsoft\Windows\WebCache


[그림 2 - WebCacheV24.dat 파일]


이 파일은 ESEDB(Extensible Storage Engine Database File) 파일 형식으로 이루어져 있는데 파일 판별은 간단하게 시그니처(ef cd ab 89)를 찾아 확인 할 수 있다.


 * 참고 : ESEDB 포맷은 다른 일반 파일 포맷과 다르게 시그니처 위치가 오프셋 4 위치이다. 0~3 오프셋은 파일의 체크섬이다.


[그림 3 - WebCacheV24.dat 파일 시그니처]


ESEDB의 파일 구조가 궁금하다면 'Forensic examination of Windows Live Messenger 2009 Extensible Storage Engine' 문서를 참고하기 바란다. 그리고 현재 ESEDB를 분석 할 수 있는 도구는 2개 정도로 EsEDbViewer, libesedb가 있는데 다음 그림은 EsEDbViewer로 WebCacheV24.dat 파일을 오픈한 화면이다.


[그림 4 - EseDbViewer]


테이블 중 Containers 라는 테이블을 클릭하면 각 Container들에 대한 정보를 볼 수 있다. 테이블 칼럼 중 ContainerId 부분의 값과 여러개의 Container 테이블들의 번호와 일치하는 것을 볼 수 있다. 그리고 각 Container가 어떤 디렉토리의 정보를 담고 있는지 Directory 칼럼에서 확인 할 수 있다. 이 정보를 확인 한 후 분석하고자 하는 Container 테이블로 가서 분석을 수행하면 된다.


[그림 5 - History Container 테이블]


[그림 5]는 History에 해당 하는 Container 2 테이블을 확인 한 모습이다. 많은 칼럼이 존재하고 방문 횟수부터 시작해서 방문 URL, 방문 시간 등등의 정보들이 저장되어 있다. 한번 스스로 확인 해 보는 것이 이해하는 면에서나 기억하는 면에서 훨씬 좋을 것이다. 아마 이 글을 보며 분석이 이전 IE들에 비해서 수월하다고 느껴졌을 것이다. 당연히 분석을 수행 해 보면 그 느낌을 더 확고히 받을 것이다. 하지만 해당 파일만 지워지면 모든 데이터가 사라진다는 것을 명심하자. 또 해당 파일이 지워졌을 경우 파일 카빙을 대비 해 파일의 구조를 면밀히 알아두어야 한다는 것도 잊지 말자.

'[+] Forensic' 카테고리의 다른 글

N Drive Forensic Artifact  (6) 2012.09.16
Exif 포맷의 사진 데이터 조작 여부 판단 방법  (3) 2012.09.15
Internet Explorer 10 Forensic  (0) 2012.09.09
iOS Forensic - (4)  (0) 2012.08.16
iOS Forensic - (3)  (0) 2012.08.15

+ Recent posts