목록Forensic (8)
동글동글 라이프
NK Record 들은 레지스트리 구조를 연결하는데 가장 중요한 역활들을 해주는 Record 입니다.이 Record는 각 Key 에 따른 하위 목록들의 연결값들을 가지고 있고 최종으로 수정한 시간도 담겨 있습니다.이 장에서는 NK Record 의 세부적인 값들을 추출하여 나열하는 샘플을 만들어 보겠습니다. 람쥐..^^;최근 일주일동안 블로그에 열심히 글을 올렸습니다. 오랜만에 강좌를 적어서 그런지 홍보를 안해서 그런지 조회수는 높은데 댓글이 없군요 ㅡ_ㅠ 글을 적는 재미는 쏠쏠합니다~피드백이 좀 들어왔으면 하는데.. 딴지도 환영입니다.( 적당히만 해주시면 ㅡ_ㅠ...) 그러면 시작~~! Key Records 는 각 Cell 에 대한 사이즈나 정보들을 담고 있습니다. 첫번째 4Byte 는 사이즈가 담겨 있..
안녕하세요 h0ney 입니다!이번 강좌에 설명할 내용은 레지스트리 Hive 파일 포멧 분석기(Registry Hive File Format Analyzer) 입니다.사이버 포렌식에서 Registry Hive 파일 분석은 선택이 아니라 필수일 정도로 중요도가 높습니다.이를 프로그래밍 도구를 만들면서 전체 구조를 파악하며 공부하는 글을 적어보려고 합니다.프로그래밍 분석에 사용될 언어는 perl 이며 Windows Forensic Analysis의 regpl.pl 을 참고하여 설명드리겠습니다. 보안 공부를 할때 기본적으로 배우는 개념 중 PE 구조 라는 것이 있습니다.(PE구조란 윈도우 운영체제에서 지원되는 실행 파일의 형식을 뜻하며 실행을 할 수 있는 구조를 가진 파일입니다. ) 이런 PE구조를 분석 및 공..
레지스트리 정보에 관한 UI 입니다. 왼쪽에는 메인 정보를 나타내는 트리 형식으로 된 메뉴가 존재하며 레지스트리에 분석된 파일에 따라 이 메뉴들이 활성화 됩니다. 총 5개의 카테고리로 구성되어 있고, 첫번째 카테고리는 레지스트리 하이브 정보를 알려줍니다. 레지스트리를 분석하기 위한 파일에 관련된 정보들을 출력 해주며, 각 파일에 따른 하이브 파일 구조도 보기 쉽도록 출력됩니다. 두번째로는 카테고리는 레지스트리를 분석하여 하드웨어의 정보들을 장치관리자와 동일한 형식으로 나열해줍니다. 하드웨어 정보뿐만 아닌 사용자의 정보에도 신경을 더 쓸 계획입니다. 세번째 카테고리인 파일은 포렌식 분석에서 가장 중요한 역활인 사용자와 관련된 파일들을 나열하는 탭입니다. 최근 접근한 파일, 최근 저장된 파일, Explore..
만들어질 프로그램에 대하여 UI 를 설계하였습니다. 아래 그림은 처음 프로그램이 실행 될 시에 메인 화면입니다. 왼쪽에는 로고가 오른쪽에는 두가지 메뉴가 있습니다. 세부적인 데이터를 분석해주는 Normal 모드와 시나리오에 따른 문서화를 해주는 Document Mode 입니다. 각 버튼을 누르면 다음 모드로 이동을 합니다. 그리고 각 모드를 진행하기 전에 환경설정을 먼저 해야 하는데 환경설정 버튼을 누르게 되면 아래 폼이 뜨게 됩니다. 사건의 정보에 대하여 작성하고 분석하기 위한 각각의 파일들을 존재하는지 체크해야 합니다. 만약 여기서 존재하지 않는 파일이 있다면 Success 가 되지 않으며 Option 탭으로 가서 복구를 할 수 있습니다. Normal Mode 의 화면입니다. 총 4가지 탭으로 나뉘며..
전체 시스템에 관한 Architecture 입니다. 하드웨어에 저장 되어 있는 데이터를 추출하여 사용자 정보, 시스템 정보 , 하드웨어 정보 등을 얻어온 뒤 이 정보들을 보기쉽게 나열해 주며 유용한 정보를 모아서 사용자 분석을 해주는 시스템입니다. 윈도우 XP 운영체제에서 닷넷 프레임워크 3.5 C# 으로 제작이 됩니다. 디지털 포렌식 정보수사 과정은 아래와 같이 4가지로 이루어 집니다. 1. Assessment(평가) 2. Acquisition(수집) 3. Investigation(조사) 4. Document(문서화 및 보고) 이 수사과정에 따라 표를 만들어 보았으며, 데이터를 수집시에 무결성, 저장 매체 이미징 기술, 정보 수집 기술을 바탕으로 데이터를 수집해 와야 합니다. 수집한 데이터를 바탕으로 ..
포렌식 도구 Winproof가 왜 필요한지 설명을 해보겠습니다. 국내에는 통합 포렌식 툴이 없습니다. 포렌식 툴이 없다는 것이 아닌 통합적인 포렌식 툴이 없습니다. 여기서 제가 말하는 통합 포렌식 툴이란 레지스트리, 웹, 시스템 로그 그리고 사용자 분석을 위한 복구기술까지 포함된 툴을 기준으로 이야기 하였습니다. 국내에 포렌식 툴을 만드는 사람도 없고 공개화된 커뮤니티도 없습니다. 그래서 포렌식 툴을 사용할 때는 항상 외국의 툴을 사용해야 하고, 영어의 압박을 받으며, 주어진 기능대로만 사용해야 합니다. 국외의 통합툴의 경우에는 제품의 가격이 비싸고, 도구를 사용할 시 익히기도 어렵습니다. 국내 및 해외의 점유율이 가장 높은 포렌식 툴인 encase 의 경우 메뉴얼 페이지만 약 500페이지 가량 됩니다...
winproof 툴을 설명하기에 앞서 디지털 포렌식에 관하여 먼저 설명을 드리겠습니다. 위키백과의 글에 따르면 디지털 포렌식이란 , 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말합니다. forensics 이라는 의미 자체는 법의학을 이야기 하며, 범죄에 관한 과학수사를 의미합니다. 여기에 디지털이라는 단어가 수식어로 붙어서, 컴퓨터에 남겨진 여러 자료들을 수집하여 사법기관에 제출하기 위한 법적으로 효용성이 있는 데이터들을 뽑아내는 작업을 디지털 포렌식이라 이야기 합니다. 더 알기 쉽도록 설명한다면 수사시에 조사를 받아야 하는 용의자에 대하여 용의자가 소지한 디지털 매체에서 관련 자료들을 추출 해 낸 뒤, 경찰측에서 증거를 확보하여 용의자의 범죄를 입..
인사이드 윈도우즈 포렌식을 보게 되었습니다. 연구실에 아는 동생을 꼬드겨서 사게 한 후, 몇일간 열심히 보면서 이제야 포스팅을 합니다. 벌써 많은 분들이 포스팅을 하고 평을 써 놓아서 늦은 감이 있지만, 아직 어떤 책인지 잘 모르는 분들을 위해 간단히 적어 보려 합니다. 번역자, 감수자 분들은 보안계에서 인지도가 있으신 분들입니다. 감수자이신 박병익님 같은 경우에는 심플스를 운영하고 있으며, 책이 나오기 얼마전 트위터로 이 책을 소개도 하였죠 :) 책은 전반적으로 포렌식에 관련된 설명과, 분석적인 측면으로 분류 됩니다. 책에서 많은 부분을 다루고 있는건 사실이지만, 실속은 없다고 생각되네요. 결국.. 확실한 원리를 알기 위해서는 스크립트 소스 코드를 까봐야 하는게 현실이기 때문이죠 ^^; 하지만 정말 많..