본문 바로가기

forensic

Forensic CheatSheet 앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다. 본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다. 혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다. 사고 분석 시 많은 도움이 되었으면 좋겠습니다. 파일 공개는 회사 블로그로 대체합니다. http://blog.. 더보기
[정리] Linux Timestamp Change Table 윈도우 NTFS 파일시스템의 타임스탬프 변화 표는 여러 블로그와 홈페이지에 연구되어 포스팅되어 있는 것들을 보았지만, 아직까지 리눅스 배포판에 대한 정리 표가 없는 것 같아 정리를 해 보았다. 리눅스 배포판 중 우선 Ubuntu 배포판을 선택하여 Ext3 파일시스템의 시간 변화에 대하여 조사하였고, 아래와 같이 엑셀 파일로 정리하였다. 혼자 정리했기 때문에 빠진 행위나 부족한 점이 있을지도 모르니 피드백을 보내면 피드백을 수렴하여 현재 배포판의 표 수정과 함께 다음 배포판 변화 표에 추가해 정리하도록 하겠다 더보기
Metasploit(Meterpreter) Forensic 요즘 날씨가 추워 손도 얼고 뇌도 얼고(?) 해서 그런지 몰라도 뜻대로 잘 안써지네요. 조금 더 책과 사설등을 많이 읽어야겠습니다. 참고로 문서에서 언급하지 않은 부분이 있는데, Meterpreter가 동작할 때 공격자 PC의 Meterpreter와 피해자 PC의 세션 프로세스에서는 초기화를 먼저 수행하고 세션을 연결합니다. 문서를 이해하는데는 무리가 없어 문서에서는 제외하였는데, Meterpreter 동작 원리에 대해서 조금 더 관심이 있으신 분들이 있을 것 같아 이렇게 언급합니다. 더보기
Skype Forensic 인터넷 전화 Skype와 관련된 포렌식 아티팩트를 정리한 문서 입니다. 스페인어로 되어 있는데 영문 버전을 원하신다면 아래 동영상을 참고하시기 바랍니다. http://www.youtube.com/watch?v=Xiz5qzFs3Zw&feature=player_embedded 출처 : http://www.el-palomo.com 더보기
In-Memory Computing and Forensic * 인메모리에 대한 기술적 문서가 아직 많이 존재하지 않아 내용이 부실할수도 있으니 이해 부탁드립니다. 또 보안과 포렌식의 부분은 통상적 이야기가 아닌 개인적 견해가 많이 있습니다. 1. 인메모리 컴퓨팅 개요이 글에서 주제로 다룰 것은 In-Memory 컴퓨팅 기술이다. 조금은 생소하게 들릴수도 있고 또 어떤사람은 어느정도 알고 있는 이야기 일수도 있다. 사실 In-Memory 기술은 이번에 새로 개발 된 신기술이 아니다. 10여년 전부터 사용되었던 기술이고 우리 일상생활에서도 알게 모르게 사용되고 있던 기술이다. 우리의 피부로 와닿지 않아 알지 못하고 있었을 뿐이다. 일단 인메모리가 무엇인지 간단하게 정의를 보도록 하자. - 시스템의 메인메모리에 애플리케이션 등의 데이터 등을 디스크 대신 저장 해 실시.. 더보기