Information Security/Digital Forensic (24) 썸네일형 리스트형 [Digital Forensic] FTP 사용 흔적 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* FTP 사용 흔적- FTP를 사용한 흔적을 조사할때는 로그 파일의 확보가 중요하다(사실 확인할 정보는 로그파일 안에서도 국한되어 있다보니 FTP Passive/Active 모드 이런 정보는 무조건적으로 알아야 한다거나 그런것도 아니다)- FTP는 프로그램도 FileZilla, ALDrive 등 굉장히 다양하지만 로그 유형은 대부분 비슷하다(단, 로그파일 저장 경로는 사용자 커스텀도 되다보니 모두 다를 수 있다) * Filezilla 예시- 가장 만만한게 Filezilla이긴 하다, 아주 직관적이기도 하고 실제 포렌식 시험에 단골로 등장했다.(로그.. [Digital Forensic] EXIF 정보 확인 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * EXIF(EXchange Image File format)- 디지털 카메라를 기반으로 촬영한 이미지 파일 포맷으로 JPEG, TIFF, RIFF, WAV 등의 확장자에서 이미지 파일의 메타데이터로 존재한다- 보통 일반적인 디지털 카메라 외에도, 스마트폰(안드로이드 / 아이폰 등)도 동일하게 EXIF 포맷으로 이미지가 저장된다(물론 EXIF 정보를 남기는 옵션을 끄면 해당 이미지는 추가적인 메타데이터 없이 저장된다)- 실제 사건에서는 내부 정보 유출 사건 등의 영역에서 중요 정보가 되는 경우가 많은 정보 * EXIF 획득 가능 정보촬영 기기의 제.. [Digital Forensic] USB 연결 흔적 확인 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * USB 연결 흔적 확인 Artifact- USB 연결 시, Windows 시스템 내 로깅되는 Artifact는 상당히 다양하다.- 그 중, 일부 파일과 Registry에 대해 소개하며 해당 정보들은 타 도구를 사용하며 같이 확인하게 되는 경우도 있으니 경로와 내부 정보에 대해 암기하고 있으면 빠르게 확인할 수 있다. * SetupAPILogging 파일경로\Windows\INF\Setupapi.dev.log.txt확인 가능 정보- 연결 됐던 USB Volume 명- Serial Number- Volume GUID- Product ID- 최초 연.. [Digital Forensic] Steganography - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* Steganography- 정의 같은건 가뿐히 생략하고... 실제로 스테가노그래피 데이터가 포렌식 중에 존재할 시, 포렌식 툴 자체로는 탐지가 꽤나 어렵다(추측은 되지만 확정은 안되는 그런 애매모호한 상태)- 즉, 각 파일의 Signature Hex 값을 확인하면서, 정확히 선별할 수 있는 능력이 필요하다(물론 현실적으로 모든 파일 유형의 Signature를 외우기란 불가능하다. 그렇기 때문에 아래 방법론을 소개한다) * Steganography 식별 (예시)- 우선 파일 Signaturesms SOI (Start Of Image)와 EOI (E.. [Digital Forensic] File Signature - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* File Signature- 파일 유형 식별을 위한 특정 16진수 패턴을 의미- 보통 파일 첫 시작부터 몇 바이트 까지로 정해져있으며, 각 확장자마다 모두 다른 값을 가짐- 보통 MIME 형식과 비교하거나, 포렌식 툴 자체의 기능으로 확장자 변조 등의 의심 파일에서 Signature 변조 또는 훼손 현상을 다수 확인하며 점점 대상을 좁혀가는 식으로 선별해낸다. * 훼손 유형- 사실 처음 봤을때 실무에서 이런 수준으로 훼손하거나 변조시키는 경우가 있을까 라고 생각은 해봤지만, 아마 굉장히 드물지 싶다(사건은 급박하게 돌아갈테고 증거 은닉이 목적이라.. [Digital Forensic] LNK Parser - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * LNK 파일- Windows에서 .lnk는 흔히 바로 가기 파일의 확장자이며, 원본 파일에 대한 포인터(링크)로 연결 대상을 실행시키는 파일- 바로가기 파일이지만, 원본 파일의 경로, 생성 시간 등의 추가적인 정보를 다수 포함하고 있는 점에서 Forensic 과정에서 유의미한 정보를 확인할 수 있는 경우가 많다. * LNK Parser- 링크 파일은 일반적으로 속성을 눌러서 확인하면 가독성이 너무나 떨어진다. 그리고 여러 링크 파일을 동시에 확인하기 난감하기도 하여 별도 Link Parser라는 툴을 사용하는 것을 권장한다- LNK Parser는.. [Digital Forensic] File System 복구 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* File System 복구- 우선 File System을 복구하기 전, 어느 부분에서 손상이 발생했는지 확인이 필수적이다.- FTK Imager에서 이미지를 불러온 후, 파일 시스템 종류와 상관 없이 파티션 접근이 되지 않거나, 일부 회복된 파티션이 확인되면 손상이 갔다는 의미이다.- 복구 시, FTK Imager와 HxD 에서 로드해서 정보를 교차 확인하며 복구를 진행한다.- 파티션 손상 상태는 대표적으로 Unrecognized file system 및 Recovered가 존재한다.1) Unrecognized file system- 파일 시스템 손.. [Digital Forensic] Autopsy - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* Autopsy (잡 설명은 마찬가지로 생략한다. 뭐 오픈소스 라던지 기타 등등)- 별도 쓰기 방지가 없는 포렌식 분석 툴이다. 대신 오픈 소스 치고는 상당히 디테일한 수준이고 나름 분석 수준도 나쁘지 않다. (EnCase의 어마어마한 라이센스 비용을 생각하면...)- 대신 일부 부족한 기능은 확실히 존재하다 보니, 다른 Tool이 있으면 시너지가 좋다. (한마디로 없으면 개힘들다는 소리)- 위에서 언급한 추가 분석 툴은 다른 게시물에서 작성 하겠다.(각각 사용법에 디테일한 설명이 필요)- 아무튼 무료이기 때문에 필자처럼 EnCase는 거들떠 보지도 .. 이전 1 2 3 다음
