Analysis
-
운영체제 설치 시간 분석(Operating System Install Date Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 12. 5. 22:31
운영체제 설치 시간의 포렌식적 의미 포렌식적 의미를 바탕으로 보았을때 운영체제 설치 시간은 중요한 역할을 하기도 합니다. 용의자가 증거 은폐를 위해서 Format 또는 완전 삭제를 하기 위해서 운영체제를 새로 설치 하는 경우가 있습니다. 자신이 증거를 은폐했다는 사실을 숨기는 경우가 있는데 이때 운영체제 설치 시간이 유용하게 사용할 수 있다. 운영체제 설치 시간이 사건 발생 시간 이후로 변경이 되어 있는데도불구하고 발생 이전부터 계속해서 해당 운영체제를 쭉 사용해 왔다고 할 수 있다. 또한 모든 파일은 운영체제 설치 시간 이후의 TimeStamp를 가지고 있어야 하는데 그렇지 않은 파일이 존재 한다면 용의자(사용자)가 의도적으로 운영체제 설치 시간을 수정 했을 가능을 성을 가진다. 하지만 다른 저장매체에..
-
점프 목록 포렌식(Jump List Forensic)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 25. 13:46
점프 목록(Jump List)이란 무엇일까?? 윈도우 7 에서 새롭게 추가된 기능 응용프로그램을 사용할때 사용한 로그를 표현해주는 목록 3가지 - 최근 접근 문서(Recent) 폴더 와 RecentDocs 레지스트리 키 - UserAssist 레지스트리 키 - 점프 목록 위의 로그를 표현해주는 목록 3가지 중 점프목록에 대해서 이야기 해보려고 합니다. ↑ 윈도우 7에서의 점프 목록 ↑ 윈도우 10에서의 점프 목록 위의 사진이 제 노트북의 파일 탐색기 점프 목록 입니다. (저의 사생활이 들어있...) 작업표시줄에 있는 응용프로그램을 우클릭 해보면 점프 목록을 확인해 보실 수 있습니다 점프목록의 종류로는 4가지가 존재 합니다. 1. Recent : 사용자가 최근 접근한 파일이나 폴더를 의미합니다. 2. Fr..
-
슈퍼패치 파일 분석(Superfetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 11. 11:19
Superfetch File 이란? 프리패치 파일(Prefetch File)의 문제점을 개선하기 위해서 만들어진 파일입니다. 프리패치 문제점 - 프리패치는 응용프로그램 실행 전 미리 메모리에 로딩하는 기술입니다. -> 메모리를 이용한 빠른 실행의 목적을 가진 파일 - 메모리의 한계로 인해서 메모리에 로딩된 프리패치 데이터는 페이질 파일로 이동하게 되었습니다. - 다시 응용프로그램 실행시 페이징 파일부터 로딩을 시작하기 때문에 성능 저하를 불러오게 됩니다. 위처럼 프리패치 파일(Prefetch File)에 있어서 문제점이 발생하게 되서 슈퍼패치 파일(Superfetch File)이 등장을 하게 됩니다. 슈퍼패치 파일(Superfetch File) 개선점 - 사용자의 프로그램 사용 패턴(얼마나 자주, 언제,..
-
프리패치 파일 분석(Prefetch File Analysis)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 18:47
해당 글에서의 부족한 부분과 내용을 추가하여 아래의 URL로 이동하였습니다! URL : blog.forensicresearch.kr/23 Prefetch File Structure Analysis 이번에 알아볼 구조는 프리패치 파일 입니다. 프리패치 파일이란? 시스템에서 실행된 응용프로그램을 분석할때 유용한 파일로, Windows 에서만 존재 하는 파일로 응용프로그램이 처음 사용되는 blog.forensicresearch.kr blog.forensicresearch.kr 블로그도 많이 사랑해 주세요!
-
Adam7 Algorithm Encoding을 이용한 PNG FILE Steganography Analysis$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:36
SECCON 2019 CTF 에서 아래와 같이 interlace 로 Adam7 Interlace 인 문제를 접했습니다. 그래서 Adam7 Interlace 와 관련된 알고리즘인 Adam7 Algorithm에 대해서 이야기 해보겠습니다. Adam7 Algorithm은 PNG Image 에서 사용 하는 Interlacing 알고리즘 중에 하나로 아래와 같은 7개의 sub image의 형식으로 이미지 출력이 진행됩니다. 이미지의 실질적인 데이터를 다루는 IDAT Chunk의 개수에 비례해서 위의 알고리즘이 몇번 반복 하는 지를 의미 합니다. SECCON 2019 CTF 문제에서는 총 8개의 IDAT Chunk 가 있었고 Chunk가 하나씩 많아 짐에 따라서 점점 구체적으로 픽셀이 입력되는 것을 확일 할 수 있..
-
Forensics Analysis of Recycle Bin$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 10. 14. 08:32
팀 데피닛에 들어간 이후로 첫 팀 블로그에 글을 적게 되었습니다. 간단하게 휴지통 포렌식에 대해서 정리를 해보았습니다. https://defenit.kr/2019/10/14/Forensic/%E3%84%B4%20Research/Forensics_Analysis_of_Recycle_Bin/ Forensics_Analysis_of_Recycle_Bin 목차 휴지통 분석의 개요(Recycle Bin) 휴지통이란? 휴지통 분석(Recycle.Bin) Windows XP 휴지통 분석 C:\RECYCLER\\{USER SID} 폴더 찾기 Windows XP에서의 INFO2 file 과 저장되는 파일 이름 INFO2 FILE Structure Analysis Windows 10 휴지통 분석 C:\$Recycl def..
-
[Digital Forensic Chellenge] Forensic Analysis of a Compromised$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 6. 5. 23:41
문제를 확인해 보면 다음과 같습니다. 문제를 해석및 제 해석을 첨가해 보면 "리눅스 서버 시스템이 침해사고를 당한 것으로 추정이 되며, 어떤 악성 행위가 발생했는지 파악 하기 위해서 포렌식 분석작업을 해야 한다 그리고 이를 위한 하드 디스크 덤프와 메모리 스냅 샷이 준비 되어 있다" 정도로 볼 수 있을 것 같습니다. 1. 침해된 서버에서 발생한 경고와 어떤 계정의 사용자가 경고를 실행 시켰는가? 2. 해당 서버가 운영되고 있는 시스템의 환경은?(OS, CPU 등등) 3. 해당 서버에서 작동되고 있는 프로세스의 목록은 무엇인가? 4. 공격자 IP와 피해자 IP주소는? 5. 공격받은 서비스 공격은 무엇인가? 6. 공격자가 대상 서버에 행한 악성 행위는 무엇인가? 7. 공격자가 악용한 시스템의 결함이나 취약점..