본문 바로가기

디지털 포렌식

[정리] 슈퍼패치 활용 윈도우 운영체제에서 실행 파일의 흔적을 알 수 있는 대표적인 흔적으로 프리패치(Prefetch) 파일이 있다. 프리패치 파일을 분석하면 프로그램의 실행 날짜, 실행 횟수, 프로그램 경로 등을 알 수 있는데, 프리패치는 메모리의 한계와 페이징으로 프리패칭 기능의 원래 목적 상실, 운영체제에서 프리패치 파일을 관리하는 정책 상 최대 128개의 프리패치 파일 생성이라는 문제로 인해 빠른 대응과 운이 따라주지 않는다면 프리패치를 통한 실행 프로그램의 정보를 획득하기는 쉽지 않다. 프리패치 파일을 카빙하면 이 부분을 어느정도 해소할 수 있지만 복구라는 것은 상황에 따라 결과물이 다르기 때문에 이를 해결책으로 생각해서는 안된다. 또, 특별한 권한 없이 프리패치 파일에 접근 할 수 있어 많은 악성코드 또는 도구에서 .. 더보기
[정리] Havex Artifacts 얼마 전 유럽의 스카다 시스템을 공격한 Havex 악성코드에 대한 기사가 해외에서 처음으로 보도가 되었는데, 이전에 해외에서 취약점 공격에 대한 아티팩트를 정리한 포스팅 글을 보고 특정 악성코드나 취약점 공격의 아티팩트 정리의 필요성을 느껴 샘플을 아는 지인분을 통해 구한 후 포렌식 아티팩트들을 다음과 같이 정리하여 보았다. 다음 아티팩트들은 기존에 남겨지는 일반적인 아티팩트들이 아닌, 해당 악성코드가 특이하게 남기는 아티팩트들인 것을 알아두기 바란다. [Live Data]라이브 데이터에서는 프로세스의 목록과 악성코드의 동작을 파악할 수 있다. 실제 악성코드의 동작을 하는 'mdCHECK.dll'은 'rundll32.exe' 프로세스에 의해 동작하며, 정상 프로그램의 위장을 위해 'mbCHECK.exe'.. 더보기
[정리] TrueCrypt Forensics Anti-Forensics에서 가장 난감한 것은 개인적으로 생각할 때 '암호화' 기술인 것 같다. 분석해야 할 매체가 앞에 있음에도 불구하고 암호화라는 갑옷으로 둘러싸여 있어 분석을 쉽사리 하지 못하기 때문이다. 암호기술은 수학적 지식을 기반으로 고안되어 있기 때문에 현재로서도 깨지 못하는 암호들이 많이 있다. 불가항력(?)을 이겨내보기 위해 디지털 포렌식 분야에서는 많은 연구가 이루어졌었다. 이때 대상으로 연구가 많이 된 것이 'TrueCrypt'라는 암호화 소프트웨어이다. TrueCrypt는 단일 파일부터 부트 드라이브까지 암호화 대상을 가리지 않는다. 또한, 일반 사용자들이 쉽게 사용할 수 있도록 GUI 환경을 제공해 사용 범위에 있어 한계를 거의 느끼지 못한다. 이런 이유로 많은 컴퓨터 사용자들에.. 더보기
Advanced Jump List Forensics 포렌식 아티팩트 중에는 점프 목록(Jump List)라는 것이 있다. 각 어플리케이션 또는 시스템에서 자주 사용 되거나 최근에 사용 되었던 것들에 대해서 지역성 있게 윈도우 운영체제 자체에서 사용이력을 관리하기 위한 기술이라고 생각하면 되는데, 이번 글에서는 점프 목록에 대한 다른 문서들에서 언급되지 않은 이야기를 해보고자 한다. 기본적인 점프 목록에 대해서는 Forensic-Proof에서 자세하게 설명하고 있으니 참고하기 바란다. 이번 글에서는 다른 문서나 블로그 포스트에서 다루지 않았던 이야기를 하기 때문에 기본적인 설명을 생략할까 한다. 점프 목록 포렌식 기본 : http://forensic-proof.com/archives/1904 위 글을 읽었다면 점프 목록에는 "AutomationDestina.. 더보기
[정리] 로컬시스템 시간 변경 흔적(Local System Time Change Artifact) 안티 포렌식에서 가장 간단하게 할 수 있는 것 중 하나가 시간 변경이다. 운영체제의 시간을 변경하여 두면 이후에 일어나는 일들의 시간이 시스템 시간에 맞춰지기 때문에 추후에 타임라인 분석등을 진행 했을 때 분석에 어려움을 겪을 수 있다. 이번 글에서는 사용자가 운영체제에서 지원하는 기능으로 시간을 변경 했을 때 어떤 흔적들이 남는지 카테고리 분류별로 알아볼 예정이다. 해당 글에서 정한 카테고리는 프리패치, 이벤트로그, 레지스트리, 파일시스템 로그 총 4가지 분류이며, 각각의 카테고리별로 Windows XP와 Windows 7을 중심으로 컨트롤 패널 기능과 명령 프롬프트 기능을 이용했을 때 남는 흔적들을 정리 해 보도록 하겠다. 1. Prefetch 1) Windows XPWindows XP의 경우 시작표.. 더보기