Technology Notepad Technology Notepad

침해대응 사고분석 시 어느 한 O.S. 에만 국한되어 발생한다는 보장이 없기때문에 가장 많이 사용되는 Microsoft 사의 Windows 시스템과 Linux 시스템을 적절하게 사용할 수 있는 것 분석가의 역량중에 하나 일 것 이다. (사실 RedHat, Unix, HP, SUN, 등 으로 보다 새부적으로 나눠질 수 있겠지만 여기서는 윈도우 리눅스로만 구분하는 것이 적절하다고 판단된다.) 이러한 연장들을 실전에서 자유자재로 사용하려면 평소 갈고 닦아야 하는데, 일반적으로 윈도우 시스템은 개인용 PC 로 많이 사용하지만 리눅스와 같은 경우 서버 관리자와 같은 특별한 업무가 아니고서야 매일 접한다는 것이 쉽지 않을 것이다. 그래서인지 리눅스 시스템과 같은 경우 포렌식 관련 연장들을 모아 디지털 포렌식 수사에..

전자통신동향분석 제22권 제1호 2007년 2월 정보보호 이슈 특집으로 디지털 포렌식을 다루었습니다. 목차는 아래와 같습니다. Ⅰ. 디지털 포렌식 Ⅱ. 증거 수집 Ⅲ. 증거 분석 Ⅳ. 증거 제출 Ⅴ. 포렌식 시스템 및 툴 현황 Ⅵ. 포렌식 활용 분야 Ⅶ. 포렌식 발전 방향

침해사고 포렌식 현장에서 분석 대상인 하드의 이미지를 생성하지 못하여 파일 분석이 어려운 경우가 발생할 수 있다. 예를 들어 하드의 용량이 너무 크다던가 하드 타입이 레이드로 구성되어 있다던가 하는 경우에는 쉽에 이미징 작업을 수행할 수 없을 것이다. 이런한 경우 제한적이나마 NTFS 파일 시스템을 사용하는 경우라면 $MFT 파일만을 수집하여 해당 드라이버의 파일과 폴더 구조를 분석할 수 있으며, 특히 삭제된 파일과 폴더를 확인할 수 있다는 장점도 있다. 여기서 발견된 의심항목(파일과 폴더) 만을 수집함으로써 제한적 환경에서 최대의 효과를 얻을 수 있다고 판단한다. 우선 $MFT 는 WinHex 를 이용해서 쉽게 수집할 수 있다. WinHex 를 실행한 후 Tools->Open Disk (F9) 를 실행..

디지털 포렌식 수사 과정에서 특히 윈도우 운영체제의 특성상 메모리에 많은 정보들을 기록하여 사용하기 때문에 중요한 정보들이 물리적 메모리에 담겨있는 경우가 많다. 예를들어 사용자가 입력한 패스워드 혹은 실행된 프로세스, 윈도우가 보여주지 않는 레지스트리 정보 등... 이렇듯 RAM 에 상주하는 데이터는 휘발성 정보들이기 때문에 시스템이 종료된 후에는 거의 정보를 얻을 수 없다고 보는 것이 맞다. (물론 논문중에는 시스템이 종료된 후 메모리를 급속냉동시켜 일부 데이터를 얻어낼 수 있다고는 하지만 말이다.) 이렇게 휘발성 메모리를 분석하는 것을 라이브 시스템 분석(Live System Analysis) 이라고도 한다. 윈도우 메모리를 다루는 연구가 이미 많은 진척을 보였다. 이 곳에 가면 Volatility..

FastDump 소개 페이지 https://www.hbgary.com/products-services/fastdump/ 뛰어난 메모리 분석 기술을 가지고 있는 HBGary(https://www.hbgary.com) 가 메모리 수집 툴인 FastDump 도 웹사이트를 통해서 무료로 FastDump Community Edition 을 받을 수 있게 하고 있습니다. Community Edition 같은 경우 32 비트에서 4 GB 까지만 지원하고 Vista, 2003, 2008 에서는 동작하지 않는다고 합니다. FDPro.exe 파일 신청 페이지 https://www.hbgary.com/products-services/fastdump-pro/ 실행 예 C:> FDPro.exe c:\memdump.bin 그 밖..

윈도우 실행파일 구조인 PE (Potable Executable) 에는 EXPORT 라는 외부노출함수를 지원합니다. 일반적으로 DLL (Dynamic Load Library) 에서 사용되며 외부로 노출되는 함수는 일반적으로 (ASCII 기반의 문자열로 구성된) 이름을 기반으로 작성됩니다. 더불어 이 글에서 이야기 하고자 하는 “EXPORT 함수의 위치”는 일반적으로 해당 DLL 안에 존재합니다. 이러한 값들은 IMAGE_EXPORT_DIRECTORY 구조체에 AddressOfFunctions 라는 변수에 의해 RVA (Relative Virtual Address) 함수주소가 나열된 곳의 시작점을 가리키고 있습니다. typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Cha..

대칭키(Symmetric Key)를 사용하여 암호를 하는 것은 암호 서비스 하는 측면에서 볼때 키관리에 비효율적이다. 단적인 예를 들자면 Alice 가 n 명과 서로 다른 암호문장을 보내기 위해 Alice 는 n 개의 키를 가지고 있어야 한다는 이야기가 된다. 그래서 Diffie 와 Hellman 이 서로 암호화 통신을 하고 싶은 사람들이 대칭키와 같은 정보 교환없이도 그들만이 알 수 있는 암호문을 서로 주고 받을 수 있도록 프로토콜을 고안하였다. 이 프로토콜의 핵심은 유한체상의 이산대수문제를 수학적으로 풀기어렵다는 것에 기초한다. 주절이 말로 설명하는 것 보다 그림을 보는 것이 보다 정확한 정보 전달이 될 것 같아서 Microsoft Office 2010 Power Point 로 문서를 만든 후 동영상..

암호문을 깨기 위해 사용하는 방법 중 가능한 모든 방법을 대입하여 공격하는 전수공격(brute force) 기법이 존재한다. 이는 가장 확실한 방법이기는 하지만 소요되는 시간이 너무나 길어 현실성이 없는 경우가 대부분이다. 그러나 수학적 논리는 종종 인간의 직관을 뛰어넘는 경우가 있다. 통계학적으로 그렇게 전수공격이 비현실적이지만은 안은가보다, 여기서 소개할 생일공격(birthday attack) 또는 생일역설(birthday paradox) 을 살펴보면 불가능하게만 보였던 전수공격이 한번 시도해볼 수 있는 여지를 가지고 있다고 생각하게 만들 것이다. 최소한 몇명이 모여있으면 그 중에 생일이 같은 두 사람이 있을 확률이 없을 확률보다 높을까? 한번 생각해보시길 바람니다. 100명 혹은 1000명 몇 명정..