digital forensic
-
SANS SIFT Workstation 2.0digital forensic 2011. 4. 21. 23:16
침해대응 사고분석 시 어느 한 O.S. 에만 국한되어 발생한다는 보장이 없기때문에 가장 많이 사용되는 Microsoft 사의 Windows 시스템과 Linux 시스템을 적절하게 사용할 수 있는 것 분석가의 역량중에 하나 일 것 이다. (사실 RedHat, Unix, HP, SUN, 등 으로 보다 새부적으로 나눠질 수 있겠지만 여기서는 윈도우 리눅스로만 구분하는 것이 적절하다고 판단된다.) 이러한 연장들을 실전에서 자유자재로 사용하려면 평소 갈고 닦아야 하는데, 일반적으로 윈도우 시스템은 개인용 PC 로 많이 사용하지만 리눅스와 같은 경우 서버 관리자와 같은 특별한 업무가 아니고서야 매일 접한다는 것이 쉽지 않을 것이다. 그래서인지 리눅스 시스템과 같은 경우 포렌식 관련 연장들을 모아 디지털 포렌식 수사에..
-
analyzeMFT - $MFT 분석digital forensic 2011. 4. 21. 23:09
침해사고 포렌식 현장에서 분석 대상인 하드의 이미지를 생성하지 못하여 파일 분석이 어려운 경우가 발생할 수 있다. 예를 들어 하드의 용량이 너무 크다던가 하드 타입이 레이드로 구성되어 있다던가 하는 경우에는 쉽에 이미징 작업을 수행할 수 없을 것이다. 이런한 경우 제한적이나마 NTFS 파일 시스템을 사용하는 경우라면 $MFT 파일만을 수집하여 해당 드라이버의 파일과 폴더 구조를 분석할 수 있으며, 특히 삭제된 파일과 폴더를 확인할 수 있다는 장점도 있다. 여기서 발견된 의심항목(파일과 폴더) 만을 수집함으로써 제한적 환경에서 최대의 효과를 얻을 수 있다고 판단한다. 우선 $MFT 는 WinHex 를 이용해서 쉽게 수집할 수 있다. WinHex 를 실행한 후 Tools->Open Disk (F9) 를 실행..
-
Volatility - Windows Memory Forensicdigital forensic 2011. 4. 21. 23:06
디지털 포렌식 수사 과정에서 특히 윈도우 운영체제의 특성상 메모리에 많은 정보들을 기록하여 사용하기 때문에 중요한 정보들이 물리적 메모리에 담겨있는 경우가 많다. 예를들어 사용자가 입력한 패스워드 혹은 실행된 프로세스, 윈도우가 보여주지 않는 레지스트리 정보 등... 이렇듯 RAM 에 상주하는 데이터는 휘발성 정보들이기 때문에 시스템이 종료된 후에는 거의 정보를 얻을 수 없다고 보는 것이 맞다. (물론 논문중에는 시스템이 종료된 후 메모리를 급속냉동시켜 일부 데이터를 얻어낼 수 있다고는 하지만 말이다.) 이렇게 휘발성 메모리를 분석하는 것을 라이브 시스템 분석(Live System Analysis) 이라고도 한다. 윈도우 메모리를 다루는 연구가 이미 많은 진척을 보였다. 이 곳에 가면 Volatility..
-
FastDump - A Memory Acquisition Tooldigital forensic 2011. 4. 21. 23:02
FastDump 소개 페이지 https://www.hbgary.com/products-services/fastdump/ 뛰어난 메모리 분석 기술을 가지고 있는 HBGary(https://www.hbgary.com) 가 메모리 수집 툴인 FastDump 도 웹사이트를 통해서 무료로 FastDump Community Edition 을 받을 수 있게 하고 있습니다. Community Edition 같은 경우 32 비트에서 4 GB 까지만 지원하고 Vista, 2003, 2008 에서는 동작하지 않는다고 합니다. FDPro.exe 파일 신청 페이지 https://www.hbgary.com/products-services/fastdump-pro/ 실행 예 C:> FDPro.exe c:\memdump.bin 그 밖..