본문 바로가기

forensic

Windows 8 Forensic Artifact - (1) Windows 8은 Windows 7을 대체할 새로운 OS로 현재(2012. 6)까지는 개발중이며 프리뷰 버전이 공개 된 상태이다. 하지만 Windows 8은 Desktop PC 용으로 개발되었다기 보다는 요즘 추세인 스마트기기에 탑재하기 위해 개발되었다고 볼 수 있다. 주 목적은 태블릿 PC나 Windows Phone 탑재이지만 Desktop PC도 지원을 해야 하기에 Matro UI 말고 기존의 Desktop 환경도 지원한다. Windows 8은 현재까지 알려진 Windows 8에서 새롭게 추가 된 기능들은 다음과 같다. - 매트로 UI 및 시작 화면 : Windows 8은 기존 Desktop 환경 말고 Matro UI라는 새로운 GUI를 추가하였으며, 사용자 편의대로 두 GUI 환경을 스위칭 할 수.. 더보기
RootBSD Forensic Challenge 풀이 Google에서 포렌식 Challenge 목록을 크롤링 중 소규모 Forensic Challenge를 발견하였다. RootBSD 라는 곳에서 주최한 대회로 2010년에 열린 것 같다. 문제의 난이도는 쉬운 편이며, 참가 인원은 30팀 정도 된다고 한다. 대회 방식은 질/답 형식이 아닌 flag 값을 제일 먼저 정확하게 찾아 주최측에 메일로 인증을 받는 형식이다. 찾아야 할 해쉬 값은 총 10개이며 10개 모두 찾아 이메일로 한번에 보내야 한다. 문제 난이도는 어렵지 않으니 훑어 보기만 해도 될 것이다. 일단 문제 파일을 받아보면 tar.gz로 압축되어 있는데 압축을 해제 해 보면 [그림 1]과 같은 디렉토리들이 보이는 걸 확인 할 수 있을 것이다. [그림 1 - 문제 목록] 각 디렉토리에 있는 파일들을 .. 더보기
Mac OS X - Live Response (3) 포렌식에서 어떤 대상을 분석하던 시간은 정말 중요한 정보이며 사건의 기준이 된다. Mac OS X에서는 시간 값이 어떻게 변화되는지 간단하게 알아보자.Mac OS X도 다른 OS나 파일시스템과 동일하게 MAC(Modify, Access, Create) Time이 존재하고, 여기에 추가적으로 Change Time이 존재한다.(HFS+ 파일시스템에서 시간 정보는 Catalog File의 파일레코드에 존재한다.) [그림 1 - 시간 종류별 설명] * 참고 : Change Time이 갱신 될 경우 Modify Time도 같이 갱신 된다. 그럼 이제부터 [그림 1]의 설명들이 무엇을 의미하는지 알아보도록 하겠다. touch 명령어로 간단히 파일을 생성하고 그 시간을 한번 알아보면 [그림 2]와 같다. [그림 2 .. 더보기
Mac OS X - Live Response (1) Mac OS X는 Apple社에서 개발한 운영체제이며 그 기반은 Unix를 두고 있다. 해당 OS에서의 휘발성 정보들은 다른 OS들의 휘발성 정보와 대부분 동일하며 그 수집 방법만 조금 다를 뿐이다. Mac OS X에서도 다른 OS와 마찬가지로 시간정보, 네트워크 연결정보, 프로세스 목록 등을 수집한다. 그럼 이제부터 하나씩 살펴보자. * 참고 : Mac OS X는 Unix를 기반으로 두고 있기 때문에 대부분의 Unix 명령어가 동일하게 적용된다. 그렇기 때문에 Linux에서도 아래와 같은 명령어들로 동일하게 휘발성 정보를 수집 할 수 있다. [시스템 시간]Windows의 경우 date 명령어와 time 명령어의 조합을 이용하여 시스템의 현재 시간 정보를 수집하였었는데, Mac OS X에서도 동일하게 d.. 더보기
Codegate 2012 Forensic 500 풀이 와 드디어 마지막 문제인 500 문제를 풀었습니다. 미리 스포를 해드리자면 이번 문제는 디스크 포렌식 입니다 :) 일단 문제 지문부터 봐 보죠 This file is Forensic file format which is generally used. Check the information of imaged DISK, find the GUIDs of every partition. Answer: strupr((part1_GUID) XOR (part2_GUID) XOR ...) 지문은 정말 간단합니다. 문제로 주어지는 파일은 포렌식 파일 포맷이라고 하네요. 이미지의 디스크 정보를 파악하여 파티션의 GUID를 찾으라는 것 입니다. 일단 7z 압축 포맷은 아닌 것 같으니 hex 에디터로 봐 봅시다. [그림 1 - .. 더보기