$ 포렌식 $
-
CoC(Chain Of Custody)$ 포렌식 $/$ 포렌식 제도적 이론 $ 2019. 6. 26. 23:43
CoC란? 현재의 증거가 최초로 수집된 상태에서 지금까지의 어떠한 변경도 않았다는 것을 보증하기 위한 절차적인 방법을 의미한다. 미국의 경우에는 Chain of Custody가 지켜지지 않으면 해당 증거물은 법적인 증거 효력을 가지지 못한다. 또한 법적인 증거 효력을 가지지 못하는 증거에서 나온 모든 증거물 또한 법적 효력을 가지지 못한다. (1) Chain of Custody 부정 Chain of Custody 부정을 하는 방법중 대표적인 방법은 일시적 증거 무관리 상태를 증명하는 방법이 있습니다. 일시적 증거 무관리 상태란? => 증거 보관자와 증거가 물리적으로 떨어져 있는 상태를 이야기 한다. 무관리 상태는 증거 보관자와 증거가 떨어져 있기 때문에 증거가 변조될 가능성이 있다는 것을 가정할 수 있기..
-
디지털 포렌식의 수행 절차$ 포렌식 $/$ 포렌식 제도적 이론 $ 2019. 6. 26. 23:40
1. 사전 준비 단계 : 증거 수집 단계에서 사용해야 할 도구나 장비 등을 숙지하고 증거 수집 단계를 뒷바침 하기 위한 물리적 준비를 하는 단계 입니다. 2. 증거 수집 단계 : 증거를 획득한 사람, 증거 획득 감독, 증거 획득 인증의 역할을 하는 사람들이 각각 있어야 하면 그 사람들이 참관한 상태에서 분석 하여, 정보를 수집해야 한다. 사전 준비 단계에서 준비해둔 도구를 이용해서 압수할 목록을 미리 정하고 증거 압수를 수행해야 한다. 이때 적법 절차를 거쳐서 분석을 해야하고 위법 절차를 거치게 되면 증거로서의 효력을 가지지 못하게 되기 때문에 꼭 적법 절차를 거쳐서 분석을 해야한다. 또한 수사에 불필요하게 많은 증거를 수집해도 안된다. 증거품에는 증거 라벨을 부착해야한다. 3. 증거 이송 단계 : 해당..
-
MBR (Master Boot Record)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 24. 17:52
MBR은 Master Boot Record의 약자로 저장 매체의 첫번째 섹터인 LBA 0에 위치하는 512바이트 크기의 영역입니다. 다음 아래의 그림은 MBR의 기본적인 구조를 보여줍니다. 처음 446byte는 Boot code 영역 이라고 부르고 그다음 64byte는 Partition Table 영역, 2byte는 Signature 영역이라고 이야기 합니다. 운영체제가 부팅될 때 POST(Power On Self-Test) 과정을 거친뒤 저장 매체의 첫 번째 섹터를 호출하는데 이때 해당 부트 코드가 수행됩니다. 만약 부팅할 수 있는 파티션이 없는 경우에 미리 정의해 놓은 에러 메시지를 출력한다. MBR의 각 영역에 대한 범위를 나타낸 표 입니다. 부팅 가능한 주 파티션을 생성한다면 위의 구조에 따르면 ..
-
하드디스크(Hard Disk Drive, HDD) 구조와 작동 원리 및 각종 규격$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 24. 11:46
하드 디스크란? 하드 디스크는 하드 디스크 드라이브 라고도 이야기 하는데 짧게 줄여서 HDD 라고도 이야기 합니다. 하드 디스크는 비휘발성, 순차 접근이 가능한 컴퓨터의 보조 기억장치입니다. 하드디스크에 존재하는 플래터를 회전시켜, 자기 패턴으로 정보를 기록합니다. 우리가 생각하는 대부분의 하드디스크는 다음과 같은 모양을 하고 있습니다. 위의 사진은 하드디스크의 앞과 뒤를 보여주는 사진인데 앞에서 이야기한 플래터를 확인 하기 위해서는 하드디스크의 내부 구조를 확인해야 합니다. 아래 사진을 보시면 하드디스크의 내부 구조가 어떻게 구성되어 있는지 확인 할 수 있습니다. 하드 디스크는 다음과 같이 6개로 구성 되어 있습니다. 전원 커넥터, 데이터 커넥터, 헤드, 액추에이터암, 스핀들, 플래터가 존재 합니다. ..
-
FTK Imager을 이용해서 디스크 이미지 만들기$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 13. 01:36
FTK Toolkit 이란? 전 세계적으로 가장 많이 사용되고 있는 디지털 포렌식 분석 소프트 웨어중 하나로 사용하기 편한 인터페이스, 강력한 이메일 분석 기능 및 분산 프로세싱 능력등 강력한 기능을 가진 제품입니다. FTK Imager 이란? FTK Toolkit에 구성요소로 있는 FTK Imager 프로그램은 증거 수집 기능 과 수집된 증거를 확인 할 때 용의하게 사용할 수 있는 도구입니다. 또한 다용한 기능을 탑재하고 있어서 초보자에서 전문가 까지 자주 사용하는 도구 입니다. 현재 사용하고 있는 2GB짜리 USB가 증거 자료로 나왔다고 가정을 할때 디지털 포렌식 전문가가 가장 먼저 해야하는 작업은 무결성을 지키기 위해서 이미지 파일을 만드는 것입니다. 2기가 짜리 USB를 가지고 FTK Imager..
-
Multimedia - 플래그를 찾아라!$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 12. 23:03
파일 명은 dump1.raw.lzma 입니다. 확장자가 2개 붙은 느낌이 드는데 [lzma 압축 파일은 lzma 알고리즘에 의해서 구현된 압축기법] [https://www.openthefile.net/ko/extension/lzma] lzma확장자 이기 때문에 unlzma을 이용해서 압축해제부터 하였습니다. dump1.raw을 보니 메모리 덤프파일 일 것 같아서 분석 도구인 volatility를 사용해 보도록 하겠습니다 리눅스에서 volatility를 사용하기위한 환경 구축 ↑이거 순서대로 명령어 작성. 가장 중요한 부분인 Suggested Profile을 잘 보면 Win10x64라고 되어있습니다. 윈도우 10 운영체제의 메모리 덤프 파일이라는 것을 알 수 있습니다. 추가 분석을 위해서 pslist모듈을..
-
Multimedia - 플래그를 가져라!$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 12. 23:01
해당 사진을 확인해 보면 겉으로 표시되는 것은 없습니다. Forensically 툴을 통해서 사진을 확인해 보면 흰색과 노란색이 불규칙하게 나열 되어 있는 것을 확인 할 수 있습니다. 흰색을 0 노란색을 1 로 구분 해서 숨겨져 잇는 데이터를 추출 해 보기로 했습니다. 0과 1로 된 2진수 수로 변환 하고 hex 값으로 변환하면 Flag를 찾을 수 있습니다. 결과 값을 한번 확인해 보겠습니다. Flag가 분할 되어 있는 것 같습니다. Flag : MMA{---RGB--BRG-1a02f42b} 출처 : 디지털 포렌식 with CTF
-
Multimedia - 천 마디 말보다 사진 한 장…$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 12. 23:00
해당 파일을 보면 다음과 같습니다. 이런 파일이 1000개가 존재 합니다. 그중에서 Flag 를 찾아야 하는 것 같습니다. 힌트는 grep 라고 되어 있기 때문에 다음과 같은 명령어로 각각의 파일의 형식을 출력할 수 있습니다. 그 이유는 file 명령어의 2번째 옵션이 파일 형태 이기 때문입니다. ====================================================================== file 함수를 잘 보면 다음과 같습니다 띄어 쓰기를 기준으로 $1 $2 $3 ... 이렇게 갑니다. 그래서 해당 파일의 특징인 $2번만 print 해준 것입니다. sort 는 아래와 같이 나오는 걸 방지하고 정렬및 병합을 위해서 추가 했습니다. uniq는 똑같은 문장은 앞의 숫자로 합..