태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'포렌식'에 해당되는 글 30건

  1. 2011.03.16 ACE 패쓰
  2. 2011.03.04 Road Masster를 만져보다 @.@ (1)
  3. 2011.03.04 EnCase Portable로 모바일 포렌식 하기??!!?!? (1)
  4. 2011.01.13 포렌식 라이브 CD(Forensic Live CD)
  5. 2011.01.11 [기사스크랩] 디스크암호화 해독기법 - 전원off 후 5분내 암호해독 단서 찾기
  6. 2011.01.07 Steganography VIII - Hiding Data in Wave Audio Files
  7. 2010.10.23 waybackmachine - 죽은 링크 페이지 추적하기
  8. 2010.05.31 모든 파일시스템 비교 자료
  9. 2010.04.01 EnCase - SC Magazine's 2010 Reader Trust Award
  10. 2009.12.14 폴더/파일 액세스 날짜가 변경되는 경우 분석 (2)
  11. 2009.10.29 마이크로소프트 PST 로드맵 공개
  12. 2009.10.11 [E-mail 포렌식] 이메일과 예약의 변조 분석하기
  13. 2009.10.05 FAT16/32 파일 복구 프로그램 개발 중... (7)
  14. 2009.09.21 FinalForensic 3.1 초간단 리뷰
  15. 2009.09.16 DKOM 탐지 방법
  16. 2009.08.31 DNA 증거도 조작될 수 있다 !! (4)
  17. 2009.07.23 IIS 로그 포렌식
  18. 2009.07.20 iDEFENSE LABS - 멀웨어 분석 도구 사이트
  19. 2009.07.18 해쉬 계산기
  20. 2009.07.13 나쁜 GS...!!?!?!?!! (8)
  21. 2009.06.16 Unix 장비별 MAC Address 확인 방법
  22. 2009.04.26 2009 Hacking Defence & Conference 개최
  23. 2009.03.26 암호복구 툴 무료 다운로드 사이트
  24. 2009.03.17 IDE, SATA 핀 구조
  25. 2008.12.01 레지스트리 키 정보
  26. 2008.12.01 포렌식 이미징 도구 인기 투표 결과
  27. 2008.11.05 포렌직 사이트 소개 - DFRWS.org
  28. 2008.10.31 증거물수집과 증거보관에 관한 지침
  29. 2008.07.03 NTFS on-disk structure
  30. 2008.07.02 dd 명령

ACE 패쓰

┃ 끄적끄적 2011.03.16 08:23
턱걸이...ㅋㅋ
사용자 삽입 이미지

'┃ 끄적끄적' 카테고리의 다른 글

레오폴드 FC900R과 바밀로 PBT 키캡 후기  (0) 2017.02.22
ACE 패쓰  (0) 2011.03.16
'요일별 직장인 표정'  (0) 2010.09.03
외국인도 좋아하는 뽀글이  (2) 2010.04.20
이직...  (6) 2010.02.26
드라마 IRIS의 IP추적 장면  (6) 2009.11.27
Trackbacks 0 : Comments 0

Write a comment


Road Masster를 만져보다 @.@

ⓔ Forensic 2011.03.04 16:25
로드마스터...굉장히 클줄 알았지만 생각보다 작은 외형이었다.

하지만...무게는 굉장했다. ㅋ

기본 32비트 Windows XP Embbed 운영체제와 Image Masster가 설치되어있었고,

CPU 제논 2.33GHz?였나, + 4기가 램

해쉬계산 생략으로 디스크 복제 테스트 결과 평균 분당 5기가의 복제능력을 발휘하였다.
사용자 삽입 이미지
사용자 삽입 이미지


SATA, SCSI, USB 등의 포트를 지원하고 suspect에 원본을, evidence에 사본 디스크를 연결하여 사용한다.
사용자 삽입 이미지

로드마스터는 전원을 킨 상태에서 장치 연결이 가능하다.

대신 연결을 위해서는 Image Masster를 통해야만 하는데,  Detect 기능을 통해 연결한 매체를 탐색한 후 복제를 시작한다.

윈도우단에서 USB메모리를 연결하기 위해서는 첫번째 detect, 두번째 mount를 수행하면 된다.

각종 복제 모드가 있지만 복제할 섹터 범위를 설정하는 기능은 현재 내 눈엔 보이지 않는다...ㅡㅡ;;

와이핑, 이미지 분할 저장, 여러 해쉬계산 기능, 1:2 복제기능이 있으며, 작업로그는 모두 파일로 기록이 되므로 파일을 오픈하여 확인이 가능하다.

이 장비가 왜 이리 비싼지는 이해하지 못하겠지만...쓸만하다...^^
Trackbacks 0 : Comments 1
  1. justjhs 2011.09.12 19:38 Modify/Delete Reply

    흠...좋아보이네ㅋㅋ

Write a comment


EnCase Portable로 모바일 포렌식 하기??!!?!?

ⓔ Forensic 2011.03.04 14:53
http://www.boannews.com/media/view.asp?idx=24994&kind=1

EnCase Portable을 모바일포렌식도구로 소개하고 있는 이 기사(위 링크)를 쓰신 분께 물어봐야겠음..
Trackbacks 0 : Comments 1
  1. justjhs 2011.09.12 19:39 Modify/Delete Reply

    ㅋㅋㅋㅋ이거 물어봤어??ㅋ

Write a comment


포렌식 라이브 CD(Forensic Live CD)

ⓔ Forensic 2011.01.13 09:48

메일링 중에 누군가 forensic live CD에 대해 묻자 여러 사람들이 답변한 것들을 모아봄.

1. BackTrack
- URL : http://www.backtrack-linux.org/

사용자 삽입 이미지



2. DEFT Linux(Computer Forensics Live CD)
- URL : http://www.deftlinux.net/
사용자 삽입 이미지



3. Caine(Computer Forensics Linux Live Distro)
- URL : http://www.caine-live.net/
사용자 삽입 이미지



4. IRItaly(Incident Response Utaly Project)
- URL : http://www.iritaly-livecd.org/
사용자 삽입 이미지


* 기타 참고자료 : http://www.forensicswiki.org/wiki/Tools

Trackbacks 0 : Comments 0

Write a comment


[기사스크랩] 디스크암호화 해독기법 - 전원off 후 5분내 암호해독 단서 찾기

ⓔ Forensic 2011.01.11 09:19
디스크 암호화 해독 기법에 대해서 연구하고 싶어졌다..


기사 원문 : http://news.joinsmsn.com/article/455/4908455.html?ctg=1200


컴퓨터 꺼도 남는 ‘5분 흔적’ 잡아채 암호 단서 포착

[중앙일보]입력 2011.01.11 00:28 / 수정 2011.01.11 00:58

구글 정보 도둑질 잡은 한국 경찰, 난수표 암호 어떻게 풀었나

사용자 삽입 이미지

수사관이 들이닥칠 때 용의자가 증거를 숨기기 위해 컴퓨터 전원을 꺼도 5분 안에만 메인 메모리를 뒤지면 암호 열쇠의 단서를 찾을 가능성이 있다. 메모리에 저장된 정보가 전원을 끄는 즉시 사라져 버리는 것은 아니기 때문이다. [미국 프린스턴대 제공]

세계 최대 정보검색 업체인 구글이 개인정보 무단 수집 혐의로 한국 경찰의 수사를 받고 있다. 경찰청 사이버테러대응센터는 지난해 8월 구글코리아 에서 압수한 하드디스크를 해독해 그 증거를 잡았다. 대응센터가 어떻게 구글의 암호를 풀고 증거를 확보했을까.

 대응센터 이병길 수사관이 1년여 전 외국인 해커를 검거한 과정을 통해 이를 추정해볼 수 있다. 당시 해커는 국내 기업을 해킹해 설계도면 등 비밀자료를 빼낸 뒤 요구한 돈을 받으러 한국에 왔다. 기업 관계자를 만나기 위해 커피숍에 나와 있던 해커는 검거 당시 외장 하드디스크를 갖고 있었다. 증거가 되는 설계도면 등이 들어 있을 것으로 추정됐다. 하지만 외장 하드디스크 안의 모든 파일은 최강 암호화 프로그램 중 하나인 ‘트루크립트(TrueCrypt)’로 암호화돼 있었다. 암호를 알지 못하면 해커를 그냥 놓아줄 수밖에 없는 상황이었다. 순간 이 수사관은 해커가 켜놓은 노트북에 주목했다. 이 수사관은 즉시 해커 노트북의 메인 메모리(RAM)에 들어 있는 내용물을 모두 복사했다. 해커가 외장 하드디스크에 접속하기 위해 사용했을 비밀번호 등 암호를 푸는 단서가 있을 수 있기 때문이다. 일반적으로 컴퓨터를 꺼도 메인 메모리는 5분 정도는 일부 정보를 갖고 있다. 이 경우 남아 있는 정보에서 암호 열쇠의 흔적을 찾을 수도 있다. 수사대는 독자 개발한 암호 찾기 소프트웨어에 해커 컴퓨터에서 복사한 데이터를 걸었다. 몇 초 만에 외장 하드디스크 접속 암호와 암호화한 파일용 암호가 나왔다. 32비트로 ‘2C 01 AF 4A 2E 6C 7E 4B’와 같은 ‘수수께끼 자물쇠’가 4줄이나 됐다. 이런 긴 암호를 하나하나 숫자와 문자를 대입해 푸는 것은 사실상 불가능하다. 이 암호로 외장 하드디스크를 열자 그 속에는 국내 기업 컴퓨터를 해킹해 빼낸 설계도면 등 비밀자료들이 고스란히 남아 있었다.

사용자 삽입 이미지

 암호는 어떤 프로그램이나 패스워드를 써도 컴퓨터 안에 흔적이 남는다. 수사관들이 추적하는 것은 바로 그 흔적이다. 흔적이 남는 곳은 컴퓨터의 메인 메모리와 하드디스크다. 그 속에 각종 자료가 있지만 그곳으로 들어가 파일을 열어볼 수 있는 암호 열쇠 역시 함께 있는 경우가 많다. 구글 하드디스크의 경우는 더 어려웠다. 암호가 이중으로 걸려 있었기 때문이다. 컴퓨터를 켤 때도 암호를 입력해야 했고, 이를 통과한 뒤에도 하드디스크 안의 파일이 통째로 암호화 프로그램으로 막혀 있었다. 더욱이 하드디스크 안의 파일은 ‘트루크립트’ ‘비트라커(BitLocker)’ 등 시중에 나와 있는 눈에 익은 프로그램이 아닌, 구글이 직접 개발한 프로그램에 의해 잠겨 있었다. 이중의 벽에 막힌 수사관들은 우선 압수한 컴퓨터의 하드디스크부터 복사했다. 원본을 가지고 암호를 풀려고 조작하다 보면 데이터를 날릴 수 있기 때문이다. 그런 다음 하드디스크에서 접속 암호의 단서를 추적했다. 아울러 떼낸 하드디스크를 암호가 걸려 있지 않은 다른 컴퓨터에 연결해 접속 인증 과정을 생략하는 방식도 시도했다. 이런 과정을 거쳐 첫 번째 관문을 통과했다. 두 번째 암호와 맞닥뜨린 수사팀은 하드디스크에 저장된 자료의 앞부분을 주목했다. 거기에는 ‘10 4C AB 2A 7E’와 같은 숫자·문자의 조합이 난수표처럼 배열돼 끝없이 이어지고 있었다. ‘바로 이거다’라는 생각이 직감적으로 들었다. 수사팀은 준비한 암호 해독 규칙을 난수표 같은 문장에 역으로 적용해 수많은 정보를 평문으로 만들었다. 암호 열쇠인 듯한 기록만 골라내 이리저리 대입해 보기를 수백 차례, 어디선가 보호색으로 위장한 카멜레온(암호)이 잠시 눈을 떴다. 그 짧은 눈의 번득임을 수사팀은 놓치지 않았다. 순식간에 카멜레온의 목덜미를 낚아챘다. 두 번째 비밀의 문도 그렇게 열렸다.

 대응센터 정석화 수사팀장은 “모든 컴퓨터의 암호를 다 풀기는 어려워도 상당 부분은 그 흔적이 남기 때문에 찾을 가능성이 크다”고 말했다.

박방주 과학전문기자, 박혜민 기자

Trackbacks 0 : Comments 0

Write a comment


Steganography VIII - Hiding Data in Wave Audio Files

ⓔ Forensic 2011.01.07 15:02

출처 : http://www.codeproject.com/KB/security/steganodotnet8.aspx

사용자 삽입 이미지

Trackbacks 0 : Comments 0

Write a comment


waybackmachine - 죽은 링크 페이지 추적하기

ⓔ Forensic 2010.10.23 01:05
참고 : http://kr.geek2live.org/165

위 링크에서 최초 발견한 waybackmachine은....

예전에 자신이 필요한 정보를 담고 있던 웹페이지가 더이상 서비스하지 않을때 URL만 알고 있다면 그 URL을 이용해 예전 사이트의 흔적이라도 찾을 수 있는 도구이다.

www.archive.org 에서 서비스하고 있는 이 waybackmachine은 완벽하지 않지만 어느정도 효과는 보는 것 같다.

이 도구를 소개해준 분의 글을 인용해서 간단히 사용방법에 대해 알아보자면...

- 서비스되지않는 URL : http://www.sendmerss.com/profiles.aspx?rss=feeds.feedburner.com%2fsimpleblogging

위 URL을 archive.org에서 waybackmachine을 이용하면....
사용자 삽입 이미지


자체 서버에 백업했던 자료를 날짜별로 보여준다.
사용자 삽입 이미지



이 중에 하나를 클릭해보면 이미지는 깨져서 보이지만 텍스트 내용은 확인해볼 수 있다.
사용자 삽입 이미지




대단하지 않은가? 전세계의 모든 웹페이지를 백업한다는 말이다. waybackmachine에 대해 재검색해보니 누군가 네이버의 예전모습을 이 도구를 이용해 찍어 올려놓았다.

그래서 나도 한번 찍어보았다. ㅋㅋ

[1999년 1월 25일 네이버 모습]
사용자 삽입 이미지


웹로그 포렌식 중 수집한 URL이 서비스되고 있지 않아 어떤 페이지인지 알 수 없을 경우 이 도구를 활용하면 좋을 것 같다...^^
Trackbacks 0 : Comments 0

Write a comment


모든 파일시스템 비교 자료

┃ System 2010.05.31 00:52
위키에 이렇게 잘 정리되어 있을 줄이야...-0-

http://en.wikipedia.org/wiki/Comparison_of_file_systems

아래 자료 외에도 위 링크로 들어가시면 각 파일시스템들의 한계, 메타데이터 여부 등도 표로 잘 정리되어 있습니다.



General information
File system Creator Year
introduced
Original operating system
DECtape DEC 1964 PDP-6 Monitor
Level-D DEC 1968 TOPS-10
George 2 ICT (later ICL) 1968 George 2
V6FS Bell Labs 1972 Version 6 Unix
ODS-1 DEC 1972 RSX-11
RT-11 file system DEC 1973 RT-11
DOS (GEC) GEC 1973 Core Operating System
CP/M file system Gary Kildall 1974 CP/M
OS4000 GEC 1977 OS4000
FAT12 Microsoft 1977 Microsoft Disk BASIC
DOS 3.x Apple Computer 1978 Apple DOS
Pascal Apple Computer 1978 Apple Pascal
CBM DOS Commodore 1978 Microsoft BASIC (for CBM PET)
V7FS Bell Labs 1979 Version 7 Unix
ODS-2 DEC 1979 OpenVMS
DFS Acorn Computers Ltd 1982 Acorn BBC Micro MOS
ADFS Acorn Computers Ltd 1983 Acorn Electron (later Arthur RISC OS)
FFS Kirk McKusick 1983 4.2BSD
ProDOS Apple Computer 1983 ProDOS 8
MFS Apple Computer 1984 Mac OS
Elektronika BK tape format NPO "Scientific centre" (now Sitronics) 1985 Vilnius Basic, BK monitor program
HFS Apple Computer 1985 Mac OS
Amiga OFS[11] Metacomco for Commodore 1985 Amiga OS
High Sierra Ecma International 1985 MS-DOS, Microsoft Windows, Mac OS
NWFS Novell 1985 NetWare 286
FAT16 Microsoft 1987 MS-DOS 3.31
Minix V1 FS Andrew S. Tanenbaum 1987 Minix 1.0
Amiga FFS Commodore 1988 Amiga OS 1.3
HPFS IBM & Microsoft 1988 OS/2
ISO 9660:1988 Ecma International, Microsoft 1988 MS-DOS, Microsoft Windows, Linux, Mac OS X, FreeBSD, and AmigaOS
JFS1 IBM 1990 AIX[1]
VxFS VERITAS 1991 SVR4.0
WAFL NetApp 1992 Data ONTAP
AdvFS DEC 1993 [2] Digital Unix
NTFS Version 1.0 Microsoft, Gary Kimura, Tom Miller 1993 Windows NT 3.1
LFS Margo Seltzer 1993 Berkeley Sprite
ext2 Rémy Card 1993 Linux, Hurd
UFS1 Kirk McKusick 1994 4.4BSD
XFS SGI 1994 IRIX, Linux, FreeBSD
HFS IBM 1994 MVS/ESA (now z/OS)
Joliet ("CDFS") Microsoft 1995 Microsoft Windows, Linux, Mac OS X, and FreeBSD
UDF ISO/ECMA/OSTA 1995 -
FAT32 Microsoft 1996 Windows 95b[3]
QFS LSC Inc, Sun Microsystems 1996 Solaris
GPFS IBM 1996 AIX, Linux, Windows
Be File System Be Inc., D. Giampaolo, C. Meurillon 1996 BeOS
Minix V2 FS Andrew S. Tanenbaum 1997 Minix 2.0
HFS Plus Apple Computer 1998 Mac OS 8.1
NSS Novell 1998 NetWare 5
PolyServe File System (PSFS) PolyServe 1998 Windows, Linux
ODS-5 DEC 1998 OpenVMS 7.2
ext3 Stephen Tweedie 1999 Linux
ISO 9660:1999 Ecma International, Microsoft 1999 Microsoft Windows, Linux, Mac OS X, FreeBSD, and AmigaOS
JFS IBM 1999 OS/2 Warp Server for e-business
GFS Sistina (Red Hat) 2000 Linux
Melio FS Sanbolic 2001 Windows
NTFS Version 5.1 Microsoft 2001 Windows XP
ReiserFS Namesys 2001 Linux
zFS IBM 2001 z/OS (backported to OS/390)
FATX Microsoft 2002 Xbox
UFS2 Kirk McKusick 2002 FreeBSD 5.0
Lustre Sun Microsystems/Cluster File Systems 2002 Linux
OCFS Oracle Corporation 2002 Linux
VMFS2 VMware 2002 VMware ESX Server 2.0
Fossil Bell Labs 2003 Plan 9 from Bell Labs 4
Google File System Google 2003 Linux
ZFS Sun Microsystems 2004 Solaris, FreeBSD (64-bit?)
Reiser4 Namesys 2004 Linux
Non-Volatile File System Palm, Inc. 2004 Palm OS Garnet
Minix V3 FS Andrew S. Tanenbaum 2005 MINIX 3
OCFS2 Oracle Corporation 2005 Linux
NILFS NTT 2005 Linux, NetBSD
VMFS3 VMware 2005 VMware ESX Server 3.0
GFS2 Red Hat 2006 Linux
ext4 various 2006 Linux
exFAT Microsoft 2006,2009 Windows CE 6.0, Windows XP SP3, Windows Vista SP1
TexFAT/TFAT Microsoft 2006 Windows CE 6.0
NTFS Version 6.0 Microsoft 2006 Windows Vista
Btrfs Oracle Corporation 2007 Linux
HAMMER Matthew Dillon 2008 Dragonfly BSD
WBFS Wii Homebrew 2009 Wii, Wii Linux, Windows using WBFS Manager
Oracle ACFS Oracle Corporation 2009 Linux - Red Hat Enterprise Linux 5 and Oracle Enterprise Linux 5 only


 

'┃ System' 카테고리의 다른 글

모든 파일시스템 비교 자료  (0) 2010.05.31
vmware파일(vmdk) 들여다보기  (2) 2009.04.16
프로세스 정보 목록  (0) 2009.04.15
윈도우 글꼴 가독성 높이기(Clear type)  (0) 2009.03.18
OpenAFS  (0) 2008.10.02
NTFS on-disk structure  (0) 2008.07.03
Trackbacks 0 : Comments 0

Write a comment


EnCase - SC Magazine's 2010 Reader Trust Award

┏ Interesting News 2010.04.01 08:57
EnCase가 최고의 컴퓨터 포렌식 솔루션 부분에서 SC 매거진의 2010 구독자 신용상(?...이렇게 해석하는게 맞나 ㅋ)에 선정되었네요^^

기사보기 : http://www.forensicfocus.com/index.php?name=News&file=article&sid=1372
Trackbacks 0 : Comments 0

Write a comment


폴더/파일 액세스 날짜가 변경되는 경우 분석

ⓔ Forensic 2009.12.14 01:09

1. Windows XP

1) 폴더

(1) 변경되는 경우

a. 마우스 커서를 폴더 위에 올려놓아 메타데이터 정보를 보았을 때

b. 폴더를 더블클릭하여 안의 내용물을 보았을 때

c. 다른 탐색기 프로그램(everything)을 이용하여 해당 폴더안의 파일에 바로 접근한 경우


(2) 변경되지 않는 경우

a. 다른 탐색기 프로그램(everything)을 이용하여 해당 폴더안의 하위폴더에 바로 접근한 경우

※ 폴더의 경우, 같은 날에 접근하면 시간은 변경되지 않는다. 자세히 얘기하자면, 마지막 액세스한 시간이 ‘12월 1일 12:34:56’으로 저장되어 있는 폴더에 12월10일 15:15:15에 접근한 경우에는 마지막 액세스한 날짜가 ‘12월10일 15:15:15’로 변경된다. 하지만 같은 날 12월 10일 20:20:20에 접근하더라도 마지막 액세스한 날짜는 바뀌지 않고 ‘12월10일 15:15:15’ 그대로 유지되게 된다. 폴더안의 파일/폴더를 열어보아도 시간은 변경되지 않는다.

 

2) 파일 

(1) 변경되는 경우

a. 마우스 커서를 파일 위에 올려놓아 메타데이터 정보를 보았을 때

b. 파일을 더블클릭하여 실행/열기 등을 하였을 때

c. 파일을 마우스로 선택하여 하이라이트 하였을 때

 

(2) 변경되지 않는 경우

(찾는 중...)

 

2. Windows Vista/7

※ Vista/7은 기본적으로 액세스 날짜가 변경되지 않도록 설정되어 있다. 액세스 날짜를 활성화시키려면 아래의 레지스트리 경로에 위치한 값을 수정해주어야 한다.


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem\

NtfsDisableLastAccessUpdate=1


NtfsDisableLastAccessUpdate 를 0으로 변경한 후, 재부팅하면 액세스 날짜가 활성화된다.


파일 및 폴더의 액세스 날짜가 변경되는 경우는 XP와 일부 동일하지만, 몇 가지 경우에서 차이가 난다.

 

1) 폴더

XP와 모두 동일


2) 파일

(1) 변경되는 경우

a. 압축파일인 경우, 파일을 더블클릭하여 실행/열기 등을 하였을 때

b. 파일(압축파일 포함)을 우클릭하여 메뉴를 볼 때

c. 텍스트 파일을 수정하였을 때


(2) 변경되지 않는 경우

a. 마우스 커서를 파일 위에 올려놓아 메타데이터 정보를 보았을 때

b. 파일을 마우스로 선택하여 하이라이트 하였을 때

c. 파일의 이름을 변경할 때

d. 텍스트 파일의 경우 수정시도만 하였을 때


※ Vista/7의 경우, XP와 다르게 파일 및 폴더 둘 다 같은 날에 접근하면 시간은 변경되지 않는다. 하지만 파일의 경우, 내용을 수정하게 되면 시간까지 변경된다.



p.s. 해당 내용에 대해 수정할 부분이 있다면 지적해주시고, 다른 변경 요소들에 대한 추가의견 많이 부탁드립니다. 여러번 삽질해서 작성해봤는데, 상당히 헷갈리더군요.^^;

Trackbacks 0 : Comments 2
  1. 지나가던 2010.06.21 21:53 Modify/Delete Reply

    Windows7 사용중입니다. 레지스트리를 0으로 하지 않았는데도 엑세스한 날짜가 보이는 것은 무엇인가요?
    어제 연 파일을 보니까 어제 날짜가 떠 있긴 한데 오늘 다시 열어보고 다시 정보를 보니
    그대로 어제 날짜로 되어있네요. 레지스트리를 0으로 하고 보니까 바로 현재시간으로 나와버리고.. 아리송 하네요~

    • Favicon of https://suban.tistory.com BlogIcon suban 2010.06.30 15:00 신고 Modify/Delete

      아이고~! 먼저 답변이 늦어 죄송합니다.ㅜㅜ
      활성화라는 단어가 오해를 불러일으킨 것 같습니다.
      액세스 날짜란 최종 접근 시간을 보여주는 것인데 비스타 이상은 그 기능이 비활성화되어있습니다. 활성화된다는 말은 액세스 날짜에 변경이 오도록 한다는 말입니다.
      정리를 하자면 액세스날짜는 윈도우탐색기에서 보여집니다. 하지만 최근 접근한 시간으로는 변경되지 않기때문에 레지스트리에서 최근접근시간기록을 활성화시키는 것입니다.^^

Write a comment


마이크로소프트 PST 로드맵 공개

ⓔ Forensic 2009.10.29 16:47
MS에서 PST 파일 포맷에 대한 로드맵을 공개했다는 소식입니다.

< 세부내용 보기 >

아웃룩 설치없이 다른 방법으로도 분석이 가능해졌네요.

전에 libpff로 pst 파일을 분석했던 보고서(이메일과 예약의 변조 분석하기)를 번역해 올린적이 있는데, 이분들이 좋아라 하시겠습니다.
Trackbacks 0 : Comments 0

Write a comment


[E-mail 포렌식] 이메일과 예약의 변조 분석하기

ⓔ Forensic 2009.10.11 01:29

Joachim Metz에 의해 작성된 보고서이다. 아웃룩에서 사용되는 PST/OST를 분석해 이메일 시간 변조 여부를 밝혀내고 있다. 오픈소스인 libpff를 사용하여 분석한 케이스!!

libpff는 PAB, PST, OST에서 사용되는 PFF를 분석하여 아이템의 정보를 추출하고 복구하는 아웃룩 전용 분석 도구이다.

오픈소스라는 말이 나와 다는 아니지만 운영체제별로 오픈소스 포렌식 도구를 소개하는 사이트를 하나 소개할까 한다.

http://www.opensourceforensics.org/

이 보고서를 번역하면서 느낀 거지만 역시 해외는 파일 포렌식까지 활발히 연구가 이루어지고 있다는 점이 대단해 보였다.

나름 디스크포렌식을 공부하는 본인에게 파일포렌식이라는 추가 과제가 던져지는 듯 하다.

느낀점은...음...이런 발견을 했을 때의 그 짜릿함과 환호를 나도 느끼고 싶다!!

p.s. 어색한 번역이므로 넓으신 아량으로 봐주시길...

--------------------------------------------------------------------------------------------------
원문 : http://blogs.sans.org/computer-forensics/?s=E-mail+and+appointment+falsification+analysis
--------------------------------------------------------------------------------------------------

이메일과 예약 위조 분석

 

마이크로 소프트의 Outlook/Exchange에서 이메일과 예약 위조 분석

 

Joachim Metz 작성

Hoffmann 연구소

 

개요

 

디지털 포렌식 분석에서 가끔 이메일이 변조되었는지 아닌지 알아낼 필요가 있다. 문서에서는 마이크로 소프트사의 Outlook/Exchange 환경에서 이메일이 변조되었거나 예약들이 바뀌어진 것들을 알아내는데 도움을  아웃룩 메신저 어플리케이션 프로그래밍 인터페이스의 리뷰가 제공될 것이다.

 

libpff 프로젝트에 대해

 

2008 호프만 연구소의 포렌식 조사관, Joachim Mets 의해서 libpff 프로젝트가 시작되었다. 당시 일반 도메인에서는 개인 폴더 파일(PFF)에 대한 가장 좋은 소스가 libpst 프로젝트였다. libpst 프로젝트는 지난 2002년에 David Smith, Joe Nahmias, Brad Hards, Carl Byington 의해 배포되고 관리되었다.

 

하지만 그당시 libpst 라이브러리가 아니었고 PST OST 파일들안의 삭제된 아이템들을 복구하는 기능을 지원하지 않았다. 삭제된 아이템을 복구하는 기능을 지원하는 PST OST 위한 공유 라이브러리를 생성하는 것이 libpff 프로젝트의 초기 목적이었다. 삭제된 아이템들을 복구하는 것은 PFF 포맷의 내부 구조에 대해 상세한 지식을 요구한다. 이것은 재미있는 여행의 시작일 뿐이다.

 

2009 3 PFF 포렌식은 처음에 Hoffmann Advanced Forensic Sessions (HAFS)에서 마이크로소프트 오피스 포렌식의 일부로써 논의되었다. 개인폴더파일(Personal Folder File)이라 제목 지어진 문서는 HAFS의 일부분으로써 발행된 것이다. 이 문서는 난제를 확실히 이해시키기 위해 PFF 포맷의 기본사항에 대해 설명한다. 문서와 세미나 모두 주요 결론은 서로 다른 포렌식 도구들이 PST OST파일들 안에 삭제된 아이템들을 복구할 때 서로 다른 결과를 제공한다는 것이다.

 

그 사이에 libpff 프로젝트는 진화되었다. PFF 포맷의 지속적인 분석과 희생으로 그 파일 포맷의 새로운 단면을 발견하게 되었다. PFF 아이템들은 수신자, 서브폴더, 서브메세지와 서브와 관련된 아이템들에 대한 정보를 일부 담고 있다.

 

또한 MAPI에 대한 유용한 많은 정보들을 구할 수 있다. OpenChange 프로젝트는 MAPI의 오픈소스 실행을 위한 libmapi를 제공한다. 그리고 MFCMAPI 프로젝트는 많은 MAPI 정보를 MSDN에서 구할 수 있도록 제공한다.

 

호프만 연구소내에서 libff는 두 가지 목적을 위해 일해왔다. 먼저 첫번째는 다른 포렌식 도구에서 발견된 참조자료를 교차시키고 두번째는 그런 포렌식 도구들보다 PST OST 파일들에 대한 더 많은 정보를 제공하는 것이다. 2009 11, 다가오는 HAFS에서 PFF 포렌식은 주요 논의 그 이상이 될 것이다. 그 동안 이 문서에서는 재미있는 발견들이 제공될 것이다.

 

목차

 

1. 소개
  1.1.
배경

2. 변조된 이메일 메세지

  2.1. 이메일 body

  2.2. 대화 인덱스

3. 수정된 예약

4. 결론

부록 A. 참조

부록 B. GNU Free Documentation License

 

1. 소개

변조된 이메일과 예약을 걸러내기 위해 당신에게 맞는 포렌식 분석 도구를 가지고 있는 것이 좋을까? 하지만 대부분 현재의 포렌식 도구들은 이메일 메세지와 예약의 신뢰성에 대해 적은 정보를 제공한다. 그러므로 확실한 분석이 수동으로 행해져야 한다. 이 문서는 마이크로소프트 Outlook/Exchange 환경에서 변조된 이메일을 식별하는데 도움을 줄 Outlook 메세지 어플리케이션 프로그래밍 인터페이스(MAPI)의 일부분에 대한 이해를 제공할 것이다.

 

1.1 배경

 

만약 당신이 기업 환경의 필드에서 포렌식 조사관이라면 아마 대부분 마이크로 Outlook Exchange를 다룰 것이다. MAPI는 프로그래밍 인터페이스일뿐만 아니라 이메일 속성에 관한 정보의 유용한 자원이다. PST OST를 위해 마이크로소프트 Outlook에 사용되는 개인 폴더 파일 포맷을 분석이 쉽지 않다면 이 문서를 읽기 위해 [METZ09]를 읽도록 조언한다.

 

2. 변조된 이메일 메세지

 

최근 조사에서 우리는 사용자가 특정 날짜와 시간에 보낸 이메일이 있는지 조사해야만 했다. 송신자와 수신자 모두의 메일박스안에 이메일의 존재 여부를 알아내는 것부터 시작했다. 그러나 포렌식 관점에서 매우 재미있었던 다른 특성이 있었다.

 

2009 3 10일 자 이메일이 2009 3 17일에 전송되었다. 원본 이메일은 어떤 메일박스에서도 찾을 수 없었다. 첫번째 변조 징후는 전송된 이메일에 찍힌 월()의 일()자 변조였다.  3 10일의 0이 깔끔한 검정색인 주위의 글씨와 다르게 회색이었다.

 

2.1. 이메일 바디

 

Outloo/Exchange에서 이메일메세지는 RTF와, 또는 HTML 바디 텍스트를 포함할 수 있다. RTF HTML 포맷 모두 체계화된 코드를 사용한다. 체계화된 코드를 사용하여 body 텍스트를 로우레벨로 분석하였다. 대부분 쉽게 구할 수 있는 포렌식 도구들은 이런 체계화된 코드들에 접근을 제공하지 않지만 운좋게 우리에겐 libpff와 분석할 수 있는 도구가 있다.

 

verbose libpff를 컴파일하고 결과를 디버그하고 pffexport verbose 옵션(-v)을 이용하여 PST 파일을 추출하여 자세한 디버그 로그 파일을 생성하였다. 이 로그파일에서 우리는 이메일과 RTF body를 찾았다. RTF body에서 다음의 정보를 발견했다.

 

{\*\htmltag84 <b>}\htmlrtf {\b \htmlrtf0 Sent:
{\*\htmltag92 </b>}\htmlrtf }\htmlrtf0 Tuesday March 1
{\*\htmltag84 <span style='color:#1F497D'>}\htmlrtf {\htmlrtf0 0
{\*\htmltag92 </span>}\htmlrtf }\htmlrtf0 , 2009 13:48
{\*\htmltag116 <br>}\htmlrtf \line<BR>
\htmlrtf0
{\*\htmltag4 \par }

 

전송된 다른 이메일을 참고하여 we established that the bold formatting code should not be there.(번역이 애매모호해 그냥 이렇게...)

 

2.2. 대화 인덱스

 

존재하는 이메일 메세지를 찾는 중, 우리는 원본 이메일이 2009 3 10일에 생성된 것이 아니라 사실 2009 3 17일에 생성되고 변조되었다고 가정하였다. 송신자와 수신자의 메일박스에 원본 이메일 메세지의 부족을 제외한 다른 증거를 원했다.

 

'대화 추적하기(Tracking Conversations'라는 MSDN 글은 우리에게 상당히 신뢰할만한 답을 제공한다.

 

MSDN 'Tracking conversations' : http://msdn.microsoft.com/en-us/library/cc765583.aspx

(아래의 설명들을 위한 참조자료이다. MAPI에서의 메세지 저장 구조에 대한 설명이다.)

 

이 설명대로 PFF 포맷을 리버스 엔지니어링하여 1이란 값으로 되어 있는 하나의 예약된 바이트를 포함하는 헤더 블락 부분이 사실 파일시간의 첫번째 바이트라는 것을 알았다. 따라서 파일시간은 5바이트가 아니라 6바이트이다. 대화 인덱스의 헤더 블락안의 날짜와 시간은 이메일 메세지의 생성 날짜 및 시간과 일치한다.

 

MSDN 설명에 따르자면, 자식(child) 블락은 헤더 블락안에 저장되어 있는 시간이 아니며 현재와 예전 시간사이에 차이점을 포함한다고 한다. 이것이 여러 이메일들의 생성 날짜와 시간으로 사용된다.

 

특정 이메일의 대화 인덱스를 해석해보면 :

 

0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Mar 17, 2009 10:13:04 UTC
GUID : 11111111-2222-3333-4444-555555555555
Child block: 1
Filetime : Mar 17, 2009 10:18:03 UTC
Random number : 2
Sequence count : 0
Child block: 2
Filetime : Mar 17, 2009 10:24:01 UTC
Random number : 9
Sequence count : 0
Child block: 3
Filetime : Mar 17, 2009 10:42:39 UTC
Random number : 9
Sequence count : 0
Child block: 4
Filetime : Mar 17, 2009 10:45:36 UTC
Random number : 14
Sequence count : 0
Child block: 5
Filetime : Apr 17, 2009 07:19:08 UTC
Random number : 8
Sequence count : 0

 

자식 블락안의 날짜와 시간이 생성 날짜와 시간과 맞지 않고 바뀐 것에 유념하라. 이런 변조의 실질적 이유는 아직 알려지지 않았다.

 

0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Apr 17, 2009 08:41:20 UTC

 

하지만 대화 인덱스에서 2009 3 10일은 없다. 다른 전송되고 응답된 이메일 메세지의 대화 인덱스를 보면 이것은 우리가 예상한 행동이다. 위 예제에서 GUID '11111111-2222-3333-4444-555555555555'는 바뀌었다는 것을 유념하라.

 

GUID를 이용하여 대화 인덱스에서 같은 GUID를 가진 유사한 이메일을 발견했다.

 

대부분 이 이메일들은 다른 내용을 가졌다. 이 발견은 우리의 가설을 지지한다. 또한 유사한 이메일 모두 2009 3 17일이라는 생성 날짜를 가졌다. 따라서 '310'안의 0이 변조된 이메일은 2009 3 17일에 생성된 다른 이메일을 사용하여 변조되었다고 볼 수 있다.

 

인터뷰를 통해 이 발견을 들이대자 이메일 송신자는 자신이 이메일을 변조했다고 인정했다.

 

3. 변조된 예약

 

또다른 조사에서 우리가 찾고자 한 키워드 중 하나를 포함하는 대화 토픽을 담고 있는 한 예약을 발견했다. 하지만 예약은 완전히 다른 제목을 가지고 있었고 마지막 수정 날짜와 시간은 이미 예약이 며칠 뒤의 날짜로 변경되었다고 표시되어 있었다.

 

우리는 이 행동이 예약을 변경함으로써 발생되었다는 것을 확실히 할 필요가 있었다. 아웃룩을 사용하여 우리는 예약을 포함하는 PST파일을 생성했다. Libpff는 우리에게 제목과 대화 토픽에 대한 다음과 같은 정보를 제공했다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^ATest1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값에 대한 것이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:50 UTC

 

제목안의 ^A 글자는 제어 글자이고 무시될 수 있다.

 

생성과 마지막 수정 날짜와 시간이 동일하지 않다는 것을 유념하라.

 

다음에 우리는 예약을 변경하였고 제목과 대화 토픽에 대한 정보를 얻었다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^AModified1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:08:37 UTC

 

보시다시피 예약이 변경되었을 때 대화 토픽과 인덱스는 바뀌지 않는다는 것을 알 수 있다. 예제에서의 마지막 수정 날짜와 시간은 예약이 변조되었다는 중요한 표시는 아니다. 왜냐하면 우리는 예약이 생성된 후 올바르게 변경했기 때문이다.

 

4. 결론

 

Outlook/Exchange의 이메일과 예약은 대화 인덱스와 여러 체계화된 body 텍스트들과 같이 이메일 디지털 포렌식 분석에 유용할 수 있는 확실한 정보를 제공한다. 또 대화 토픽과 원래의 생성/수정 날짜와 시간도 유용할 수 있다.

Trackbacks 1 : Comments 0

Write a comment


FAT16/32 파일 복구 프로그램 개발 중...

ⓔ Forensic 2009.10.05 16:18
포렌식을 처음 공부하자고 시작할때 '임베디드 개발자를 위한 파일시스템' 책을 꼼꼼히 읽어보면서 거기에 나오는 소스코드를 분석하였을 때 문득 떠오른 것은 이 소스코드를 응용하면 충분히 파일 복구 프로그램을 만들 수 있겠다라고 생각했다.

그 생각을 한 1년후...이제서야 개발을 시작하게 되었다.

우선 FAT 파일시스템 기반 저장매체에서의 파일 복구를 목표로 잡았다.

mfc부터 공부해야해서 열혈강의 mfc 책을 샀다. (베게보다 더 두껍다..-0-)

대화상자 기반쪽만 후딱 보고 바로 프로그래밍 착수...

책에 있는 소스코드를 vs2005 mfc에 맞게 수정! 뚝딱!뚝딱!


<1단계> HDD를 덤프뜨자!(한판뜨자??)


무지 허접해보이지만 어차피 목표는 파일 복구 프로그램이기때문에 덤프 확인되는것만 보고 패쓰! (기분은 유후~ed <-- ed는 과거형..)

하지만 후에 목표 달성 후 부족한 것 하나하나씩 추가할 예정이다.


<2단계> 파티션 정보 가져오기



짐작한 분도 있겠지만...확장 파티션은 패쓰다...으갸갸갸...왜냐구? 목표는 일단 단순 파일 복구니까..(기분은 유후~ed <-- ed는 과거형..)


<3단계> 삭제된 파일 보여주기!!

FAT 기반은 루트디렉토리에서 저장된 파일 정보가 시작되기 때문에 루트디렉토리 검색하여 앞에 1바이트 값이 E5인것만 출력토록 했다. 물론 복구 불가능한 파일을 걸러주는 기능을 추가해야 한다.


FAT32는 따로 루트디렉토리 영역이 없기때문에 FAT를 추적하여 링크드리스트로 루트디렉토리 리스트를 구성하였다. 공식을 창조?하느라 머리카락 엄청 많이 뽑아댓다..ㅜㅜ(앞머리가 훤해짐~)

각 파일에 대한 정보를 보여주도록 REPORT형식의 리스트 컨트롤을 사용하였다. 일단 위 샘플은 엔트리 카운트, 파일인지 디렉토리인지, 파일/디렉토리 이름, 확장자, 크기, 숏네임, 시작 클러스터만 출력되도록 했다.

추후 타임정보도 추가해야할 것이다.

(기분은 WOW~ed <-- ed는 과거형..)


<4단계>선택한 파일 복구 하기

앞의 3단계까지는 4단계를 위한 초석을 마련한 단계였고...
으갸갸! 대망의 파일 복구!!
CString과의 싸움...형변환과의 싸움...이게 왜 가장 기억에 남지? ㅋㅋ


목록에 출력된 파일 중 하나를 선택하고 아래 경로 지정하고 복구버튼 누르면 프로그램 뒤에 창에 보이듯이 파일이 복구되었다.(기분은 Alleh~~~)

근데 이 글을 쓰기위해 재컴파일을 했는데...파일 오픈 에러가 난다.

성공한 컴파일 환경은 비스타에 인텔 기반이고, 재컴파일한 환경은 XP에 인텔기반인데...운영체제때문에 이런 현상이 일어나는 것일까?

물론 이 글을 마치고 검색을 해보겠지만...

아시는 분 답변 부탁드립니다...ㅜㅜ

< 향후 과제 >
1. 삭제된 파일의 클러스터를 검색할때 할당된 클러스터를 뛰어넘어 다음의 비할당 클러스터를 읽도록 해야하는데 그것이 구현이 안되었음. 현재는 그냥 해당 파일 크기 만큼 클러스터를 연속적으로 불러옴.
2. 논리 드라이브 단위로도 삭제된 파일을 검색할 수 있도록 해야함.
3. 디렉토리가 검색되면 디렉토리 안의 내용까지 스캔해야하는데 아직 구현 안함.
4. 추가 파티션을 발견하여 그 파티션에서도 삭제된 파일을 스캔하도록 추가해야함.
5. 포맷한 디스크에서도 파일 복구가 가능하도록 해야함. 해결방안은 dot, double dot가 포함된 섹터를 찾으면 그 섹터는 디렉토리 엔트리 테이블에 해당함으로 그 섹터에서 파일 정보를 스캔함.
6. 복구 경로를 폼나게 바꾸기
7. 복구가 불가능한 파일과 가능한 파일을 식별할 수 있도록 함수를 구현하고 그 정보를 같이 출력해주기

일단 파일복구를 목표로 달려왔기때문에 위에 언급한 내용들은 알면서도 스킵한 것들이다.

언제 저 기능들을 다 추가할지는 모르지만 시간나는대로 완성하여 공개하도록 하겠다.

이미 다른 무료 복구 툴이 많이 나와있지만...^^;
Trackbacks 0 : Comments 7
  1. 2009.10.05 19:10 Modify/Delete Reply

    비밀댓글입니다

  2. Favicon of http://boanchanggo.tistory.com/ BlogIcon 뎅꽁이 2009.10.06 00:30 Modify/Delete Reply

    형님 블로그 http://www.securityplus.or.kr/ 사이트에 rss 피드 등록되셧어요. 히히

  3. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.10.07 19:22 Modify/Delete Reply

    와우-0-; 멋지십니다. 엄청나시군요. Raw 단계부터 끝장보시는군요!

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.10.08 08:12 신고 Modify/Delete

      멋지다니 황송할 따름입니다^^; 이번기회로 FAT파일시스템 지식을 확고히 할 것 같습니다. 다음엔 NTFS로 고고싱!

  4. 우왕키굳 2010.10.28 22:34 Modify/Delete Reply

    혹시 아직도 개발 중이신가요?

Write a comment


FinalForensic 3.1 초간단 리뷰

ⓔ Forensic 2009.09.21 23:39
올해 초 출신 보안 동아리에서 어느정도의 지원자금을 받아 Encase는 샀는데 파이널포렌식은 못샀다.

이유는 5개 묶음으로밖에 팔지 않기 때문에 엄청난 값을 지불해야했기 때문이다. 흠...어떤 전략적인 판매 정책으로 이렇게 하는 것일까??

EnCase보다 파이널포렌식을 구경하기가 더 힘든 것 같다. ㅋ

흠 여튼...회사에서 이번에 3.1을 구입하게 되어 잠시 써보는 김에 간단히 리뷰하고자 한다.

아래는 구성품이다.


HASP의 동글키를 사용한다.(예전에도 그랬듯이 항상 동글키 보면 백업하고 싶다....ㅋㅋ;) 잠깐 검색해보니 최소 40마넌에 동글키에 적용된 기술 난이도에 따라 알파 플러스하면 백업해준다고 한다. 사실 소프트웨어는 동글키없이는 껍데기이기 때문에 동글키를 분실 또는 고장으로 재구매할 경우 거의 초반 구입비용이랑 비슷해서 다시 살 엄두가 안나는 사람들 대상으로 하는 것 같다.



CD를 넣으면 아래와 같은 설치화면이 뜬다. 오~ CD에서 실행하는 기능이 기본으로 내장되어 있네? (놀랄만한 건 아니다.그냥 예상외라...)





프로그램 설치 후 USB 인증 키 드라이버 설치했더니 안되서 다시 둘다 삭제하고 순서를 바꿔 설치했는데 한번에 안먹고 좀 삽질하다보니 자동으로 됐다...ㅡ,.ㅡ; 뭥미;





자주 사용하는 usb메모리를 로드해보겠다.

새로만들기하면 아래와 같이 뜬다





사건을 입력하고 확인을 누르면 드라이브 관리 창이 뜬다.
루트의 장치 이름을 선택하면 물리적 장치로 읽어들이고 서브의 볼륨을 선택하면 논리적 드라이브로 읽어들인다.




메뉴의 옵션에서 기본 스캔 방법이나 장치선택 테이블 아래의 '스캔구분 선택'에서 '미리보기', '삭제파일스캔', '유실파일스캔', '시그니처 스캔' 중에 선택하여 자동 분석을 수행하도록 할 수 있다.
맨 하단의 '스캔 종료 후 키워드 검색 및 자동 저장' 도 설정하면 키워드 검색까지 동시에 해준다.




스캔이 완료되면 왼쪽 하단 테이블에는 카테고리별로 구분하고 그안에서 파일들을 확장자별로 또 구분해 놓았다.





타임라인이다. 해당 년, 월, 일을 클릭하면 해당하는 파일들이 위 테이블에 나타난다. 근데 추적해서 들어가 파일들을 확인해보면 분류된 카테고리와 파일의 타임정보가 서로 다르다. 아직 볼줄몰라 그럴 수 있으니 두고보자..




파일들을 하나씩 클릭해가면서 미리보기를 할 수 있다. 한글워드파일을 잘 지원해주는게 왤케 멋져보일까? ㅋ 아래는 MS워드파일이지만 한글워드파일도 잘 보여준다. 근데 '문서'탭으로 보려고 했으나 비활성화되어있다. MS워드만 지원된다..ㅡㅡ;;;;
'문서'탭을 클릭하면 워드가 로드된다.(헐~)





근데 파일 하나하나를 클릭해가면서 미리보기를 하면 로드창이 잠깐 잠깐 나오는데 여러파일을 빠르게 하나씩 클릭할 경우 눈을 괴롭게 한다.



키워드 검색 창...




보고서 작성 메뉴...



기타 상단의 메뉴들...




머 전체적으로 기능들은 기본에 충실한 것 같다. 일일이 다 보여주기에는 포렌식 툴답게 엄청 많아 무리가 있고...
하지만 확장성에 대해서는 아쉽다.

웬지 첫인상은 파일 복구 프로그램 프리미엄버젼을 사용하는 것 같다는 느낌이 든다. 먼말이냐면 원래는 파일복구 프로그램인데 추가 기능이 프리미엄급처럼 많이 추가되었다는 것이다.

엔케이스에 너무 익숙해져 있어서 그런지 상대적일 수 있겠지만 좀 더 만져보고 좋은 점을 찾아볼까 한다.
Trackbacks 0 : Comments 0

Write a comment


DKOM 탐지 방법

ⓔ Forensic 2009.09.16 11:16

ROOTKIT 책에 나오는 DKOM 탐지기법에 대해서 설명하고 탐지도구를 알아보겠다.

Direct Kernel Object Manipulation; DKOM

즉, 커널 오브젝트를 직접 조작하는 방법이다.

실행중인 프로세스 목록이 링크드리스트로 보여지는데 2가지 방법이 있다. ActiveProcessLinks와 HandleTableList가 있는데 루트킷은 둘 중 하나, 또는 두 개 모두 조작하기 때문에 이에 맞는 탐지법이 필요하다. 대부분 ActiveProcessLinks를 조작하는 것 같다.

VolatilitySystems.com의 pslist는 ActiveProcessLinks 조작 경우에는 찾아내지 못하지만 Hooking에 의해 감춰진 프로세스는 찾아낸다.

python volatility pslist -f [ 파일경로]

IceSword는 ActiveProcessLinks와 HandleTableList 모두 조사하기 때문에 둘 중 하나만 조작한 경우엔 탐지가능하나 두개 모두 조작된 경우는 탐지 불가능하다.

● Memory Dump를 이용하여 EPROCESS를 모두 추출하는 방법이 있다.
Chain of Custody를 위해 USB 이동저장매체에 mdd를 저장하여 분석시스템의 메모리덤프를 수행한다.
메모리 덤프 파일과 VolatilitySystems.com의 psscan을 이용하여 DKOM 탐지 및 종료한 프로레스까지 탐지한다.

python volatility psscan -f [ 파일경로 ]

● 기타 탐지 도구

Sophos Anti-Rootkit
F-secure BlackLight
Klister
PTfinder

'ⓔ Forensic' 카테고리의 다른 글

FAT16/32 파일 복구 프로그램 개발 중...  (7) 2009.10.05
FinalForensic 3.1 초간단 리뷰  (0) 2009.09.21
DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
Trackbacks 0 : Comments 0

Write a comment


DNA 증거도 조작될 수 있다 !!

ⓔ Forensic 2009.08.31 10:28

가장 강력한 증거로 DNA를 들 수 있는데, 이 DNA 증거가 조작될 수 있다는 기사입니다.

특정인에 대한 DNA 프로필만 있으면, 다른 사람의 DNA를 그 사람의 DNA로 조작할 수 있다는 것 같네요.


........
Scientists in Israel have demonstrated that it is possible to fabricate DNA evidence, undermining the credibility of what has been considered the gold standard of proof in criminal cases.

The scientists fabricated blood and saliva samples containing DNA from a person other than the donor of the blood and saliva. They also showed that if they had access to a DNA profile in a database, they could construct a sample of DNA to match that profile without obtaining any tissue from that person.
.......

< 원문보기 >


저번주까지해서 거의 한달만에 미드 24시를 시즌1부터 7까지 봤습니다...24시에도 안나오는거보면 최신 뉴스가 아닐까라는 생각을 해봅니다. ㅋㅋㅋㅋ;;;;

'ⓔ Forensic' 카테고리의 다른 글

FinalForensic 3.1 초간단 리뷰  (0) 2009.09.21
DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
Trackbacks 0 : Comments 4
  1. Favicon of https://boanchanggo.tistory.com BlogIcon JQ 2009.08.31 11:28 신고 Modify/Delete Reply

    혹시 CTU 나오는 그거인가요? 생화학테러 무너져서.. 그거보면서 출입통제의 접근통제가 중요하다는...

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.08.31 18:09 신고 Modify/Delete

      너도 봣구나 ㅋㅋ
      잭바우어야 말로 다이하드야...시즌8에서도 나타날것같애 ㅋㅋ

  2. Favicon of https://boanchanggo.tistory.com BlogIcon JQ 2009.09.01 00:31 신고 Modify/Delete Reply

    시나리오가 너무 탄탄하더라구요 처음봣을때 드라마가 아닌 영화인줄 알앗죠 핵폭탄도 터지고~!!

  3. justjhs 2009.09.09 14:16 Modify/Delete Reply

    24시...ㅋㅋ시험때 미친짓하면서 밤새 봤던;; 클로이 대단한듯ㅋㅋ

Write a comment


IIS 로그 포렌식

ⓔ Forensic 2009.07.23 00:25

주어진 로그파일들을 쉽게 분석하는 방법이 없을까란 생각에 검색창에 'iis 포렌식'을 입력하는 순간!!

주루루루루룩 나온다...ㅡ,.ㅡ;


우선 log parser라는 툴밖에 안보인다.

- Log Parser 2.2 다운로드


visual log parser를 발견하였다.

- visual log parser 다운로드


로그 포렌식에 관한 포스팅을 유명 블로거분들이 이미 예전에 올리셨다. 완소 자료에 감사드린다.

- coderant님의 Logparser를 이용한 IIS 로그 Forensic 방법  
- 용기백배님의 LogParser as Forensic Tool 1 : LogParser의 소개와 개념
- 헐랭이님의 대량 SQL injection 악성코드 로그 추출하기


검색해보니 찾기 어려워 올리는 질문인데...

IIS의 설정 파일이 따로 존재하는가? 이다.

(있을듯 한데...없으면 실망이 클듯함^^;)


아래 자료는 참조 및 붙여넣기(ctrl+v)하기 쉽게 coderant님 포스팅을 덮썩 퍼왔다. 일일이 다 해보고 안되는 것들 몇가지 수정하였다.

----------------------------------------------------------------------------------------

1) 가장 최근에 생성된 시간을 기준으로 ASP 스크립트를 변조한 Trojan Files 여부를 진단
 
C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 


2). 가장 최근에 수정된 Files 로그 찾기

C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1   
  
3). 해커가 Trojan Files을 삭제한 경우에 HTTP 200 서버코드 흔적 로그를 찾는다.
 
C:\logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1   
  
* nc.exe, tini.exe, root.exe, cmd.exe, upload.asp, aspexec.asp, cmd.asp 같은 파일 이름이 있으면 의심

4) Script Abuse 분석(가장 많은 Request 요청을 받은 Executable 파일의 확장자 확인)

C:\logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attributes NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 

* 특히, .ASP, .DLL 파일 요청을 유심히 봐야함
* C:\inetpub\scripts -> scripts 또는 adminscripts

5) HTTP 서버 500 에러코드 검사

C:\logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
 

6) 가장 많은 Request Hit 수(hit수가 높은 ASP, DLL 파일 확인)

C:\logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total from ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 

7) 시간당 에러수가 가장 많이 발생한 날짜 확인
  
C:\logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Error FROM ex*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Error>25 ORDER BY Error DESC" -rtp:-1

* 25개 이상의 에러코드(404코드)를 발생한 날짜와 시간 결과를 출력

8) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
  
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

9) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
 
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

10)  모든 ASP 에러 기록 확인
  
C:\logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 

* 특히, ODBC와 ADO 에러는 SQL Injection 가능성이 있으므로 주의깊게 살펴봐야 함

11) 스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인
  
C:\logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 

12) Win32 Status Code 분석을 통한 Attack 확인
  
C:\logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
 

13) HTTP Method 통계 분석
  
C:\logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1

-----------------------------------------------------------------------------------------

'ⓔ Forensic' 카테고리의 다른 글

DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
Trackbacks 0 : Comments 0

Write a comment


iDEFENSE LABS - 멀웨어 분석 도구 사이트

『Link』 관련사이트 2009.07.20 18:01



iDEFENSE LABS : http://labs.idefense.com/software/


- 행동기반 또는 동적(run-time) 분석
- 정적 분석
- 퍼징
- 멀코드 분석
- 기타 도구들

각 카테고리별로 도구를 제공합니다.

유용한 도구들이 많네요.

'『Link』 관련사이트' 카테고리의 다른 글

iDEFENSE LABS - 멀웨어 분석 도구 사이트  (0) 2009.07.20
암호복구 툴 무료 다운로드 사이트  (0) 2009.03.26
nchovy  (1) 2008.10.02
xss 당한 사이트 정보 보기  (0) 2008.09.28
파일 시스템  (0) 2008.05.15
packer 사이트  (0) 2008.01.04
Trackbacks 0 : Comments 0

Write a comment


해쉬 계산기

ⓟ Software 2009.07.18 15:22



다운로드 : http://www.softsia.com/HashCalc-download-rmf0.htm
Trackbacks 0 : Comments 0

Write a comment


나쁜 GS...!!?!?!?!!

┃ 끄적끄적 2009.07.13 22:30
DDoS 사건으로 피곤한데다 날씨까지 후덥지근한 저녁, 힘들게 퇴근해서 집에 왔는데 책상에 덩그러니 놓여있는 UPS 화물(?)하나...

머지머지??? 보낸사람은 보지 않고 누군지 추측하기 시작했다...누굴까...호...호혹시?? 그때서야 보낸 사람을 보니 Guidancesoftware였다.

언능 뜯어보니 코팅된 카드 한장과 이상한 종이 쪼가리 2장이 들어 있었고, 제일 먼저 영어가 많은 것부터 읽기 시작했다. 영어 울렁증이 있어 첨부터 보지 않고 매직아이를 하기 시작했다.

눈에 젤 먼저 띄인 건 not be granted!!! 이...이런 떨어진건가...젠장...그렇게 사람 기다리게 해놓고 이제야 떨어졌다는 사실을 소포로 알리는 건 대체 뭐야! 라며 좌절감에 휩싸여 있는 동안, 아니야 그럴리 없어 라며 다시 한번 두 눈 부릅뜨고 다른 종이 쪼가리를 보니 certified라는게 보이는 것이다. 음....

그렇구나...합격한 거였고, not be granted는 교육을 받지 않이 하면 자격증이 지속되지 않는다는 부분이었다. (이제부터 열심히 투자하라는 소리로 들린다. ㅋㅋ)

오늘 아침도 어김없이 메일을 열어보며 가이던스소프트웨어가 보낸 메일이 있나 두 눈을 비비며 확인하였지만 없었다.
거의 2달 반동안 메일을 하루에도 수십번 열어보며 기다리고 기다리던 합격소식을 이따위로 전하다니...ㅡ,.ㅡ;

중간에 메일도 보내보았다. 조용히 순서 기다리라는 1줄 짜리 답장만 날라왔었다. ㅋㅋ

여튼 합격이다. 유후!!!

혼자 시험 준비하고 아무에게도 기대려하지 않으려 했던 보람이 있다.(사실 기대고 싶었지만 기댈사람이 없었음..XD)

영작에 도움을 주신 분께 정말 감사드리고, 염치없이 회사 빠지며 자격증 준비했던 것인데 회사분들께 탐앤XX 커피 하나씩 돌려야겠다.
Trackbacks 0 : Comments 8
  1. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.07.13 23:35 Modify/Delete Reply

    ^^와 축하드려요~ 저도 엊그제 받았는대 아무래도 일괄배송한듯? 비슷한 시기에 보냈나봐요;
    전 근데 제가 안보내도 중간에 합격했으니 닥.기다리란 메일 왔었는대...국내 멜이시면 중간에 차단된거
    아닐까요?^^ 저도 배송온거 사진찍어두고 아직 포스팅을 못했다는..큭;ㅋ 다시한번 축하드려요!

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.07.14 00:12 신고 Modify/Delete

      용기님 합격 멜 받으셨다는 글보고 그때 저 탈락한 줄 알고 얼마나 맘고생했는지 몰라요 ㅋㅋ 암튼 추카해주셔서 감사합니다~^^

  2. Favicon of http://boanchanggo.tistory.com/ BlogIcon 후미후 2009.07.14 08:48 Modify/Delete Reply

    형님 축하드립니다.~~~ 나중에 사진도 같이 올려 주세요 구경좀 하게요 ㅋ

  3. Favicon of http://forensicfactofy.tistory.com BlogIcon joseph1020 2009.07.15 14:01 Modify/Delete Reply

    축하드립니다. ^^

  4. Favicon of http://justjhs.tistory.com BlogIcon justjhs 2009.07.22 09:51 신고 Modify/Delete Reply

    저번에 본다던 그 시험인건가??

    암튼 ㅊㅋㅊㅋ ㅋㅋㅋㅋ

Write a comment


Unix 장비별 MAC Address 확인 방법

┃ Linux 2009.06.16 10:16
1. Linux : ifconfig -a (/sbin/ifconfig -a)
 
-----------------------------
eth0   Link encap:Ethernet HWaddr 00:50:xx:xx:xx:xx
     inet addr:192.168.1.100 Bcast:192.168.123.255 Mask:255.255.255.0
... 생략 ...
#
-----------------------------
 
2. Solaris : ifconfig -a (root로 실행해야 합니다.)
 
-----------------------------
# ifconfig -a
hme0: flags=863 mtu 1500
    inet 192.168.1.100 netmask ffffff00 broadcast 192.168.1.255
    ether 8:0:xx:xx:xx:xx
#
-----------------------------
 
3. AIX : lscfg -vp 또는 lscfg -vpl
 
-----------------------------
# lscfg -vpl ent0
 
 DEVICE      LOCATION     DESCRIPTION
 
 ent0       21-08       IBM 10/100 Mbps 이더넷 PCI 어댑터
                   (23100020)
 
    Network Address.............0006xxxxxxxx
    Displayable Message.........PCI Ethernet Adapter (23100020)
    Device Specific.(YL)........P1/E1
... 생략 ...
#
-----------------------------
 
4. HP-UX : lanscan
 
-----------------------------
# /etc/lanscan
Hardware Station      Crd Hardware Net-Interface NM Mac  HP DLPI Mjr
Path   Address      In# State  NameUnit State ID Type  Support Num
2/0/2  0x0800xxxxxxxx  0  UP   lan0   UP  4  ETHER  Yes  52
#
-----------------------------
 
5. Digtal UNIX : netstat -in 또는 uerf
 
-----------------------------
# netstat -in
Name Mtu  Network   Address        Ipkts Ierrs  Opkts Oerrs Coll
... 생략 ...
fta0 4352    00:00:xx:xx:xx:xx 13775882   0 13642091   0 0
#
-----------------------------
 
6. SGI : nvram |grep eaddr 또는 netstat -ia
 
-----------------------------
# nvram |grep eaddr
eaddr=08:00:xx:xx:xx:xx
#
-----------------------------


출처 : http://charmpa.egloos.com/1599445

'┃ Linux' 카테고리의 다른 글

리눅스 서버 점검 도구 - Linux System Check Project ; LSCP  (2) 2009.11.20
우분투 패키지 관리 apt 명령  (0) 2009.07.24
Unix 장비별 MAC Address 확인 방법  (0) 2009.06.16
find 명령 활용  (2) 2009.06.12
RPM 명령  (0) 2008.10.12
[CentOS] J2SDK + TOMCAT 5 + JK2  (0) 2008.09.07
Trackbacks 0 : Comments 0

Write a comment


2009 Hacking Defence & Conference 개최

┏ Interesting News 2009.04.26 18:08

poster.jpg

한국정보보호진흥원과 대학정보보호동아리연합회(KUCIS)가 주관하는 컨퍼런스가 13~14일에 개최됩니다.

http://www.hdcon.or.kr/


동시에 해킹방어대회도 하고 각종 이벤트도 합니다.

캐리커쳐도 그려준답니다. 좋은데요? ㅋㅋ

매년 개최했던 해킹방어대회가 올해도 어김없이 개최되며, 예선을 통과한 팀들에 한해 본선대회를 여기 컨퍼런스에서 보여줌으로써 보다 가깝게 다가갈 수 있도록 한 점이 흥미롭습니다.

전국 대학 정보보호동아리들의 연구 결과들이 발표되는 자리라 동아리들의 수준을 가늠할 수 있을 듯합니다.

제 생각엔 대학생들이 이정도면 상당한 수준이라고 생각합니다만...

학교 수업들으랴~ 보안공부하랴~ㅎㅎ 열정이 아니면 이정도하기 힘들죠.

성공적인 개최와 피드백을 얻기 위해 이글을 읽는 분들은 모두 참석하셔서 소중한 의견을 나눠봤으면 좋겠네요^^

'┏ Interesting News' 카테고리의 다른 글

중국 5.19 인터넷 접속 사고  (0) 2009.06.08
신형 PSP go  (0) 2009.05.31
2009 Hacking Defence & Conference 개최  (0) 2009.04.26
DRM 퇴출 위기  (0) 2009.04.02
울트라 슬림 카드 마우스  (0) 2008.11.07
창밖 현실과 게임의 조합  (0) 2008.10.31
Trackbacks 0 : Comments 0

Write a comment


암호복구 툴 무료 다운로드 사이트

『Link』 관련사이트 2009.03.26 23:01
elcomsoft에 가면 비록 trial버젼이지만 맛볼 정도?

lastbit가 유명한 줄 알았는데 여기도 유명하더라구요,

gpu를 활용한 암호복구툴도 파네요.

갖고 싶다@.@/


http://www.elcomsoft.com/

'『Link』 관련사이트' 카테고리의 다른 글

iDEFENSE LABS - 멀웨어 분석 도구 사이트  (0) 2009.07.20
암호복구 툴 무료 다운로드 사이트  (0) 2009.03.26
nchovy  (1) 2008.10.02
xss 당한 사이트 정보 보기  (0) 2008.09.28
파일 시스템  (0) 2008.05.15
packer 사이트  (0) 2008.01.04
Trackbacks 0 : Comments 0

Write a comment


IDE, SATA 핀 구조

ⓔ Forensic 2009.03.17 08:34
1. IDE pinout

 

Pin

Signal

Description

1

/RESET

Reset

2

GND

Ground

3

DD7

Data 7

4

DD8

Data 8

5

DD6

Data 6

6

DD9

Data 9

7

DD5

Data 5

8

DD10

Data 10

9

DD4

Data 4

10

DD11

Data 11

11

DD3

Data 3

12

DD12

Data 12

13

DD2

Data 2

14

DD13

Data 13

15

DD1

Data 1

16

DD14

Data 14

17

DD0

Data 0

18

DD15

Data 15

19

GND

Ground

20

KEY

Key

21

n/c

Not connected

22

GND

Ground

23

/IOW

Write Strobe

24

GND

Ground

25

/IOR

Read Strobe

26

GND

Ground

27

IO_CH_RDY

 

28

ALE

Address Latch Enable

29

n/c

Not connected

30

GND

Ground

31

IRQR

Interrupt Request

32

/IOCS16

IO ChipSelect 16

33

DA1

Address 1

34

n/c

Not connected

35

DA0

Address 0

36

DA2

Address 2

37

/IDE_CS0

(1F0-1F7)

38

/IDE_CS1

(3F6-3F7)

39

/ACTIVE

Led driver

40

GND

Ground


출처 : http://pinouts.ws/ata-ide-pinout.html



2. SATA Data pinout
SATA PinOut, Data
Pin # Signal Name Signal Description
1 GND Ground
2 A+ Transmit +
3 A- Transmit -
4 GND Ground
5 B- Receive -
6 B+ Receive +
7 GND Ground

3. SATA Power pinout

SATA PinOut, Power
Pin # Signal Name Signal Description
1 V33 3.3v Power
2 V33 3.3v Power
3 V33 3.3v Power, Pre-charge, 2nd mate
4 Ground 1st Mate
5 Ground 2nd Mate
6 Ground 3rd Mate
7 V5 5v Power, pre-charge, 2nd mate
8 V5 5v Power
9 V5 5v Power
10 Ground 2nd Mate
11 Reserved -
12 Ground 1st Mate
13 V12 12v Power, Pre-charge, 2nd mate
14 V12 12v Power
15 V12 12v Power

출처 : http://www.interfacebus.com/SATA_Pinout.html

'ⓔ Forensic' 카테고리의 다른 글

DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
포렌직 사이트 소개 - DFRWS.org  (0) 2008.11.05
Trackbacks 0 : Comments 0

Write a comment


레지스트리 키 정보

┃ Windows 2008.12.01 16:54
레지스트리 편집기의 실행

① 시작 메뉴에서 실행 메뉴를 클릭합니다. 나타나는 실행 창에서, regedit 라 입력한 다음 확인 버튼을 클릭하거나 엔터키를 눌러줍니다. 그러면 레지스트리 편집기가 나타납니다.
② 레지스트리 편집기에서 각 키값을 선택한 다음, 마우스 오른쪽 버튼을 클릭합니다. 나타나는 단축 메뉴를 이용해 각 레지스트리 키값을 변경 또는 추가할 수 있습니다.
이제 각각의 레지스트리 키값이 어떤 역할을 하는지 확인해보도록 하겠습니다.
이 내용은 제가 보고 있는 책 (The Windows 98 registry: A Survival Guide for Users -John Woram) 에서 참고했습니다. 

레지스트리를 이루고 있는 6개의 루트키
① HKEY_CLASSES_ROOT

  • HKEY_CLASSES_ROOT*shellex ContextMenuHandlers
    마우스 오른쪽 버튼에 추가되는 응용프로그램에 대한 정보

  • HKEY_CLASSES_ROOTCLSID {645FF040-5081-101B-9F08-00AA002F954E}
    운영체제에서 사용되는 파일들의 확장자에 대한 정의와 실행
    - 바탕화면의 휴지통의 이름은 여기서 변경할 수가 있다.

② HKEY_CURRENT_USER

  • 현재 사용자가 사용하는 응용프로그램들에 대한 여러 가지 환경설정이 기록된다. 뿐만아니라 윈도우98의 각 구성 요소들에 대한 정보 역시 이곳에 저장이 되어 사용된다.

  • HKEY_CURRENT_USERAppEvents

    EventLabels
    윈도우에서 일어나는 음향 설정에 관한 레지스트리 키. 제어판의 사운드 등록정보에서 확인할 수 있다.

    Schemes
    현재 윈도우의 음향에 적용된 효과음에 대한 설정 키들. 윈도우 자체의 음향뿐 아니라 응용프로그램을 인스톨해 설정되는 음향 설정까지 모두 포한다 (예: 한글 시작시 나오는 사운드).

    HKEY_CURRENT_USERAppEventsSchemesNames
    사운드 등록정보의 사운드 구성표의 내용.

  • HKEY_CURRENT_USERControl Panel
    제어판에 대한 설정뿐 아니라 데스크탑에 대한 설정까지 포함하고 있다.

    • HKEY_CURRENT_USERControl PanelAppearanceSchemes
      디스플레이 등록정보의 화면배색이라는 대화상자속에 포함되어있는 색구성표의 목록이다.

    • HKEY_CURRENT_USERControl PanelAppearanceColors
      현재 적용해 사용하고 있는 각각의 색에 대한 설정값.

    • HKEY_CURRENT_USERControl PanelCursorsSchemes
      마우스 등록정보의 포인터항목에 위치한 마우스 구성표이다.

    • HKEY_CURRENT_USERControl PanelKeyboard
      keyboardSpeed 항목의 값이 31이면 키의 반복속도는 최대한 빠르게 설정된 상태이다.

    • HKEY_CURRENT_USERControl PanelPowerCfgPowerPolicies
      전원관리 등록정보의 전원 구성표 목록이다.

    • HKEY_CURRENT_USERControl Paneldesktop
      MenuShowDelay 키를 만든후 그 값을 0으로... 그럼 메뉴 열리는 속도가 왕 빨라진다.

    • HKEY_CURRENT_USERControl PaneldesktopWindowMetrics
      Shell Icon BPP라는 키를 살펴보자. 이 키값이 16이면 하이컬러로 아이콘이 보인다.

  • HKEY_CURRENT_USERInstallLocationsMRU
    플로피 디스크나 하드디스크의 특정 위치에서 하드웨어의 드라이버를 설치했을 경우 그 정보들이 여기에 기록된다. 플로피 디스크 드라이버의 경우 삭제해도 소용없다.

  • HKEY_CURRENT_USERkeyboard layout
    제어판의 키보드 등록정보 안에 있는 설치된 키보드 언어 및 키 배치의 내용이다. 일반적으로 한국어로 등록이 되어있기 때문에 기본키값은 412이다.

  • HKEY_CURRENT_USERNetwork
    네트워크이용시 네트워크 드라이브에 대한 설정이 저장된다.

  • HKEY_CURRENT_USERRemoteAccess
    전화접속 네트워킹의 구성내용을 저장.

  • HKEY_CURRENT_USERSOFTWARE
    사용자가 윈도우98에 설치한 응용 프로그램의 구체적인 정보를 저장한다. 예를 들면 응용 프로그램에서 사용하는 하드웨어 드라이버라든가 프로그램의 툴바의 배치상태, 색상, 사용자가 지정한 옵션들에 대한 것들이 저장되어 있다. 대개 바이너리 형태로 저장되므로 직접 편집하기는 거의 불가능하다. 따라서 해당프로그램의 옵션에서 조정해주는 방식을 이용해야 한다.

    • HKEY_CURRENT_USERSOFTWAREMicrosoft
      윈도우98에 기본으로 깔리게 되는 응용 프로그램들에 대한 설정이 저장된다. 또한 현재 윈도우 설정에 대한 정보 역시 상당히 많이 가지고 있어서 레지스트리에서 가장 중요한 부분에 속한다.

    • HKEY_CURRENT_USERSOFTWAREMicrosoftActiveMoviedevenum
      제어판의 멀티미디어 부분에 대한 정보가 여기에 저장되어 있다.

    • HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerDesktop
      윈도우98의 액티브 데스크탑에 대한 설정이 저장됨.

    • HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain
      인터넷 익스플로어 4.0의 초기 셋업에 대한 옵션

    • HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerTypedURLs
      인터넷 익스플로어의 주소창에 타이핑했던 주소들을 저장.

    • HKEY_CURRENT_USERSOFTWAREMicrosoftMultimediaAudio
      윈도우95의 멀티미디어 등록정보에서 볼 수 있었던 라디오 음질, CD 음질, 전화 음질을 찾을수 있다.

    • HKEY_CURRENT_USERSOFTWAREMicrosoftWABServer Properties
      디렉토리서비스를 지원하는 사이트의 목록

  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerRecentDocs
    시작버튼에 등록되어 있는 문서메뉴의 내용이다.

    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerRunMRU
    실행창에서 실행시켰던 명령어들이 기록된다.

  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    윈도우의 시동시 자동으로 시작되는 프로그램을 정의.


③ HKEY_LOCAL_MACHINE

윈도우 시동에 필요한 모든 하드웨어, 소프트웨어의 정보가 모여있다. 윈도우를 처음으로 설치했을 때 그 내용이 구성되며, 장치관리자를 애용해 하드웨어 구성내용을 변경할 수 있다. 따라서 이부분을 건들일때에는 각별히 신경을 써야 한다.

  • HKEY_LOCAL_MACHINEConfig
    현재 사용자의 시스템 구성상황을 저장하는 곳이다. 시스템 등록정보의 하드웨어 초기화 파일에 있는 Original Configuration의 내용이 바로 여기에 등록 된다. 기타 하드웨어 초기화 파일이 여러 개일 때는 Config 키 밑에 0002, 0003 과 같은 서브 키가 새로 생겨 이를 저장한다.

  • HKEY_LOCAL_MACHINEConfig001DisplaySettings
    이곳은 현재 사용자가 사용하는 디스플레이에 대한 세팅을 조정할 수 있다.
    DPILogicalX 값과 DPILogicalY 값을 변경해 모든 윈도우 폰트 크기를 조정할 수 있다.

  • HKEY_LOCAL_MACHINEEnum
    장치관리자에서 관리하는 트리구조의 하드웨어 설정을 기록하고 있다.

  • HKEY_LOCAL_MACHINEEnumBIOS
    하드웨어를 처음으로 설치할 때 지정한 PNP기기의 설정 값이 기록되어 있다. 시스템 타이머, 직접 메모리 엑세스 컨트롤러, 통신포트 등이 이에 해당한다.

  • HKEY_LOCAL_MACHINEEnumESDI
    하드디스크 구성에 대한 기록. 이것은 하드디스크의 개수에 따라 따로 따로 설정 된다.

  • HKEY_LOCAL_MACHINEEnumFLOP
    플로피 디스크에 대한 하드웨어 구성을 담고 있다.

  • HKEY_LOCAL_MACHINEEnumINFRARED
    적외선 장치에 대한 설정.

  • HKEY_LOCAL_MACHINEEnumISAPNP ISA
    슬롯에 장착되어 있는 PNP기기에 대한 설정을 포함. 사운드 카드와 사운드 카드에 포함된 게임 포트, IDE 컨트롤러 등 역시 여기에 설정된다.

  • HKEY_LOCAL_MACHINEEnumLPTENUM LPT
    포트에 대한 설정 내용이 기록되며 이곳에 연결된 장치 역시 여기에 설정되어 있다. 대표적으로 프린터가 그 예이다.

  • HKEY_LOCAL_MACHINEEnumMF
    마더 보드에 있는 E-IDE 컨트롤러에 대한 설정이 기록되어 있다.

  • HKEY_LOCAL_MACHINEEnumMONITOR
    모니터 구성에 대한 기록되어 있다.

  • HKEY_LOCAL_MACHINEEnumNetwork
    시스템에 설치된 네트워크 구성요소들에 대한 설정이 포함되어 있다. 마이크로 소프트 네트워크 클라이언트, 전화 접속 어뎁터, 마이크로 소프트 네트워크 파일/프린터 공유 프로그램, NetBEUI, IPX/SPX 호환 프로토콜, TCP/IP등이 이에 해당한다.

  • HKEY_LOCAL_MACHINEEnumPCI
    시스템에 설치된 PCI기기와 PCI에 관계되는 Intel 82439TX Pentium(r) Processor to PCI bridge, PCI 스티어링을 위한 IRQ 홀더, Intel 82371AB/EB PCI Bus Master IDE Controller등 PCI슬롯과 연결되어 있는 모든 장치에 대한 설정이 모여 있다.

  • HKEY_LOCAL_MACHINEEnumRoot
    시동할 때 윈도우가 하드웨어를 정상적으로 인식하기 위해 참고하는 바이오스 설정 내용들이 지정되어 있다. 보드가 지원하는 플러그 앤 플레이 바이오스나 마더보드의 바이오스 버전, 전원 관리 등에 대한 설정이다.
    그리고 시동 때마다 새로 읽어들이는 마우스와 같은 장치들을 설정해 둔다. PNP를 완벽하게 지원하지 못하는 하드웨어(LAN 카드, 모뎀)가 있는 경우 이미 구성되어 있는 데이터 베이스 파일(C:WINDOWSINFMACHINE.INF)을 참조하여 키를 구성한다.

  • HKEY_LOCAL_MACHINEEnumSCSI
    스카시 기기에 대한 구성이 저장되는데 일반적으로 시디롬 구성정보 역시 이곳에 있다.

  • HKEY_LOCAL_MACHINEEnumUSB
    USB 컨트롤러에 대한 설정이 기록된다.

  • HKEY_LOCAL_MACHINEHardware
    시스템에 설치되어 있는 하드웨어 목록이 기록되어 있다. 구체적인 설정내용이 있는 것이 아니라 단순한 정보만 저장되어 있다.

  • HKEY_LOCAL_MACHINEHardwareDescriptionSystem
    이 아래에는 몇개의 서브키가 존재한다. CentralProcessor 키에서는 CPU에 대한 정보가 기록되어 있으며 FloatingPointProcessor키에는 외부 포인터 장치에 대한 정보가 기록된다.

  • HKEY_LOCAL_MACHINEHardwareDescriptionSystemCentralProcessor
    여기에 있는 서브키중 VendorIdentifier의 내용인 GenuineIntel을 Genuine Intel로 고친다. 그러면 시스템 등록정보의 일반항목에서 현재 자신의 CPU에 대한 정확한 정보를 알수가 있다. 참고로 펜티엄166MMX의 경우에는 x86 Family 5 Model 4 Stepping 3 이다. 펜티엄133 인경우에는 x86 Family 5 Model 2 Stepping 12이다.

  • HKEY_LOCAL_MACHINEHardwaredevicemap
    현재 시스템에 있는 시리얼 포트의 이름이 기록되어 있다.

  • HKEY_LOCAL_MACHINEHardwareDirectDrawDrivers
    다이렉트 드로우를 구동하기 위한 드라이버의 이름이 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftware
    시스템에 설치된 소프트웨어에 대한 정보를 저장하고 있다. 주로 프로그램의 환경설정에 대한 구체적인 정보를 저장한다. HKEY_LOCAL_MACHINESoftwareCLASSES HKEY_CLASSES_ROOT의 키값과 동일한 값을 가진다.

  • HKEY_LOCAL_MACHINESoftwareClientsContacts
    윈도우98의 주소록에 대한 설정이 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftwareClientsInternet Call
    윈도우98의 넷미팅에 대한 설정이 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftwareClientsMail
    윈도우98에서 사용하는 전자메일 클라이언트에 대한 설정이 기록되어 있다. 윈도우98에서는 아웃룩 익스프레스가 기본으로 깔리기 때문에 이것의 설정이 여기에 있다.

  • HKEY_LOCAL_MACHINESoftwareClientsNews
    역시 뉴스 클라이언트에 대한 설정 내용이 여기에 있다. 아웃룩 익스프레스의 뉴스리더의 설정이 저장된다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoft
    윈도우98의 구성요소들에 대한 정보들이 모두 여기에 모여있다. 따라서 윈도우98의 레지스트리 중 가장 중요한 부분 중의 하나이다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstall Check
    현재 윈도우98에 설치되어 있는 인터넷 익스플로어의 버전 정보가 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftActive_SetupInstalled Components
    윈도우98을 처음 설치했을 때 사용자가 설정한 시스템 구성요소에 대한 정보가 기록되어 있다. 따라서 윈도우98의 구성요소를 추가할때는 먼저 이곳의 정보를 읽어들여서 나타내는 것이다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftAdvanced INF Setup
    인터넷 익스플로어4.0의 삭제 정보가 여기에 기록되어 있는데, 이것은 C:Program FilesUninstall Information의 파일을 이용하게 된다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftConferencingCaptureDevices
    동화상을 캡쳐하기 위한 하드웨어에 대한 데이터 베이스가 여기 있다. 필요없는 것들은 지워주는 것이 좋다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerAdvancedOptions
    제어판의 인터넷 등록정보 대화상자의 고급 항목 내용이 저장되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainUrlTemplate
    인터넷 익스플로어4.0에서 사용하는 자동 완성 데이터가 여기 수록된다. com, edu, org만 기본으로 지원한다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!
    윈도우98에 기본으로 설치되는 테마 이외의 기타 테마에 대해 설정되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!System AgentSAGECompression Agent
    압축 에이전트 디스크 공간 늘림3에 대한 설정이 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!System AgentSAGEDisk Cleanup
    디스크 정리 프로그램에 대한 설정 내용일 여기에 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!System AgentSAGEDisk Defragmenter
    디스크 조각모음에 대한 설정 기록.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!System AgentSAGELow disk space notification
    디스크 공간 부족을 경고하는 것에 대한 설정 기록.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftPlus!System AgentSAGEScandisk for Windows
    디스크 오류 검사에 대한 설정 기록.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftShared ToolsMSInfo
    마이크로 소프트 시스템 정보라는 유틸에 대한 설정이 기록된다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
    시스템 등록정보에 보이는 여러 가지 항목들을 수정할 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionApp Paths
    윈도우98에 설치되어 있는 각 프로그램의 실행 파일 경로가 기록되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionAppletsCheck DriveLastCheck
    하드디스크 오류 검사 결과를 여기에 기록해 두는데, 나중에 다시 검사할 때 이 정보를 참고한다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvanced
    탐색기 옵션을 저장함.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAutoComplete
    자동완성 기능을 사용할 것인지 여기에서 결정할 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer
    MyComputerNameSpace
    내 컴퓨터에 있는 전화접속 네트워킹 아이콘과 예약된 작업 아이콘의 표시 유무를 기록.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerSmallIcons
    탐색기나 폴더의 도구모음 아이콘을 크거나 작게 조절할 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerThumbnail View
    이미지 파일이나 WAV파일과 같은 일부 멀티미디어 파일인 경우 폴더를 웹형식으로 보면 해당 파일들을 미리보거나 연주할 수 있다. 여기에서는 미리 연주 기능만 켜고 끌 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionFonts
    윈도우에 등록된 폰트들을 저장한다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionFS Templates
    컴퓨터의 용도를 지정한다. 즉, 데스크탑 컴퓨터인지 도킹 시스템인지 네트워크 서버인지 등을 지정한다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet Settings
    인터넷 익스플로러에 사용되는 모든 설정 내용을 저장하고 있다. 히스토리나 캐시 파일의 위치, 쿠키 디렉토리 그리고 액티브X의 사용 여부, 자바 스크립트 사용 여부 등의 옵션을 저장한다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionMS-DOSOptions
    윈도우98 폴더에 있는 '게임용 MS-DOS 모드'라는 단축아이콘을 클릭하면 그에 대한 등록정보 대화상자가 나타난다. 이때 프로그램 항목에서 고급이라는 단추를 눌러주면 config.sys와 autoexec.bat를 구성하는 대화상자가 나타난다. 하단의 구성 버튼을 눌러주면 나타나는 MS-DOS 구성 옵션 선택 대화상자의 옵션들이 나타나는데 이 옵션 정보가 여기에 저장되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun
    윈도우를 시동할 때 시스템에 상주하는 프로그램에 대한 설정이 여기에 기록되어 있다. CTRL+ALT+DEL키를 누르면 확인할 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionTime Zones
    기준 시간에 대한 목록이 기록되어 있다. 레지스트리 크기를 줄이려면 필요없는 내용들을 지워도 좋다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Uninstall
    제어판의 프로그램 추가/삭제 등록 정보에 수록되어 있는 프로그램 항목들이 여기에 수록되어 있다. 프로그램을 삭제한 다음에도 여전히 기록이 남아 있다면 여기에서 해당 항목을 정리할 수 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionURL
    주소 창에 웹사이트의 주소를 적을 때 맨 앞에 붙는 부분이 설정되어 있다.

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Winlogon
    파워토이를 설치했다면 여기에 로그인 암호를 지정해, 윈도우를 시동할 때 나타나는 로그인 암호 상자에 자동으로 암호가 입력되게 할 수 있다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlASD
    자동 생략 드라이버 에이전트의 내용이 기록되어 있다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerName
    컴퓨터 이름이 기록되어 있다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlFileSystem
    파일 시스템에 대한 정보가 저장되어 있다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlIDConfigDB
    하드웨어 설정 초기화 파일을 구분하기 위한 ID의 집합부분이다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlInstalledFiles
    윈도우 폴더에 인스톨된 실행파일 및 가상 장치 드라이버에 대한 설정 기록.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlKeyboard Layouts
    전세계의 키보드 레이아웃 구성이 수록되어 있다. 필요한 것만 남기고 모두 삭제...

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControl
    MediaPropertiesPrivatePropertiesJoystickOEM
    조이스틱의 종류에 대한 데이터 베이스이다. 필요한것만 남기고 모두 삭제

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlMediaResourcesjoystick
    현재 시스템에 있는는 조이스틱에 대한 설정이 기록됨.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlNlsLocale
    언어 지정 장소. 영문(409)과 한글(412)를 제외한 모든 것은 삭제

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlSessionManagerCheckBadApps
    윈도우98에 치명적인 응용프로그램 리스트이다. 주로 도스용 프로그램이 주류...

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlSessionManagerCheckBadApps400
    역시 윈도우98에 치명적인 구버전의 응용프로그램 리스트이다. 윈도우3.1용과 윈도우98에 절대로 깔아서는 안되는 프로그램들 항목을 볼 수 있다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetControlUpdate
    안에 있는 UpdateMode값을 01에서 00으로 바꿔주자. 그러면 탐색기에서 파일을 리네임할 때나 복사할 때, 많은 수의 파일들을 표시할 때 속도가 증가한다. 즉 자동으로 새로고침 명령을 수행하게 된다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClass
    하드웨어 추가마법사에서 볼 수 있는 설치할 하드웨어 종류를 정의해 놓았다.

  • HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD
    가상장치 드라이버에 대해 정의한 곳이다. 함부로 만지면 위험.


    출처 : 네이년 지식인

'┃ Windows' 카테고리의 다른 글

Windows 7 가상화 지원 CPU  (0) 2009.05.06
Windows 레지스트리 정보  (0) 2009.03.01
레지스트리 키 정보  (0) 2008.12.01
MFT 공간 예약하기  (0) 2008.05.01
Boot.ini  (0) 2008.03.22
시작->실행-> 유용한 실행명령  (2) 2008.03.22
Trackbacks 1 : Comments 0

Write a comment


포렌식 이미징 도구 인기 투표 결과

ⓔ Forensic 2008.12.01 14:52
Forensic Focus에서 '자주 사용하는 증거 이미징 도구' 투표 결과가 압도적인 EnCase의 승리를 보
이고 있습니다.

전 EnCase가 없기 때문에...dd로 투표했는데 역시 외국에선 EnCase가 대세군요...


하긴 EnCase로 분석하는 환경이 되어 있다면 EnCase로 이미지 뜨는게 작업상 편리하니깐요...

'ⓔ Forensic' 카테고리의 다른 글

IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
포렌직 사이트 소개 - DFRWS.org  (0) 2008.11.05
증거물수집과 증거보관에 관한 지침  (0) 2008.10.31
dd 명령  (0) 2008.07.02
Trackbacks 0 : Comments 0

Write a comment


포렌직 사이트 소개 - DFRWS.org

ⓔ Forensic 2008.11.05 10:10

매년 워크숍과 포렌직 대회를 여네요.

현재 2008년도 포렌직 대회 중인 듯 합니다.

늦게나마 이런 좋은 사이트를 알아 다행입니다.

http://www.dfrws.org/
Trackbacks 0 : Comments 0

Write a comment


증거물수집과 증거보관에 관한 지침

ⓔ Forensic 2008.10.31 16:50
참고하세요~

RFC 3227

Guidelines for Evidence Collection and Archiving

증거물수집과 증거보관에 관한 지침


Abstract

보안사고(Security incident)란 RFC2828(Internet Security Glossary)에 정의되어 있는데로 시스템의 보안정책이 위반되거나 깨어진 보안과 관련된 시스템관련 사고(event)를 말한다. 이 문서의 목적은 시스템 관리자(administrator)에게 이러한 시스템 보안사고에 관한 증거물수집과 파일보관에 관한 지침을 제공하기 위한 것이다.


증거수집이 정확하게 이루어진다면 공격자를 체포하는데 유용할 것이고 법정에서 증거로 받아들여지는 것도 용이해질 것이다.


Table of Contents

1. 소개

        1.1 문서에서 사용되는 용어의 관례

2. 증거수집과정의 운영지침

        2.1 휘발성의 순서

        2.2 피해야 할 일들

        2.3 프라이버시의 고려

        2.4 법률적인 고려

3. 수집절차

        3.1 투명성

        3.2 수집의 단계

4. 파일보관절차

        4.1 Chain of Custody

        4.2 파일보관

5. 필요한 툴(Tools)

6. 참고자료(References)


1. 소개(Introduction)

보안사고(Security incident)란 RFC2828(Internet Security Glossary)에 정의되어 있는대로 시스템의 보안정책이 위반되거나 깨어진 보안과 관련된 시스템관련 사고(event)를 말한다. 이 문서의 목적은 시스템 관리자(administrator)에게 이러한 시스템 보안사고에 관한 증거물수집과 파일보관에 관한 지침을 제공하기 위한 것이다. 모든 시스템관리자가 엄격하게 이 지침을 따라야 한다는 것은 아니다. 그보다는 침입사고와 관련된 정보를 보호하고 수집하는 일을 맡았을 때 그것에 대한 지침을 제공하고자 하자는 것이다.


시스템관리자의 입장에서 증거 수집은 많은 노력을 필요로 하는 작업이다. OS의 재설치하는 시간이나 시스템을 원상태로 복구시켜서 재가동시키는데 걸리는 시간이 최근에는 매우 단축되었다. 하지만 증거물을 수집하고 보관하는 기술은 진전된 내용이 없다. 더군다나 디스크와 메모리의 용량이 늘어나고 스텔스와 cover-your-tracks 전략을 공격자가 많이 사용하기 때문에 문제는 더욱 악화된다.


증거수집이 정확하게 이루어진다면 공격자를 체포하는데 유용할 것이고 법정에서 증거로 받아들여지는 것도 용이해질 것이다.


이 지침서는 독자 자신의 환경(Jurisdiction)에 맞는 증거수집절차에 관한 지침을 만들 때 모범이 되는 참고자료로 사용해야 한다. 또한 지침서를 만든 이후에는 반드시 법집행기관(law enforcement)에 문의하여 올바른 절차로 이루어졌는지 확인해야 한다.


1.1 문서에서 사용되는 용어의 관례

REQUIRED, MUST, MUST NOT, SHOULD, SHOULD NOT, MAY...[RFC2119]


2. 증거수집과정의 운영지침

- 지역의 보안 정책에 가입하고 사고처리나 법집행을 하는 인원을 고용하라.

- 가능한 모든 자료를 수집하라.(Picture of the system)

- 날짜나 시간도 포함하여 자세히 기록하라. 가능하다면 자동으로 기록할 수 있는 장치를 사용한다.(예를 들어 Unix에서 script 프로그램을 사용한다. 이 프로그램의 출력이 동일한 디스크(증거물 디스크)에 생기지 않도록 조심한다.) 기록이나 인쇄물에 대해서는 날짜를 기입하고 서명한다.

- 시스템시간과 UTC와의 차이를 기록한다. Timestamp를 남길 때마다 UTC를 사용했는지 로컬타임을 사용했는지 표시한다.

- 당신이 언제 어떤 행동을 취했는지 증명(몇 년 후가 될 것이다.)할 수 있도록 준비해라. 자세한 기록이 중요하다.

- 수집과정에서 데이터의 변형을 최소화 한다. 이것은 파일의 내용뿐 아니라 파일이나 디렉토리의 Access Time도 포함한다.

- Remove external avenues for change.

-  수집(collection)을 할 것인가 분석(analysis)을 할 것인가 선택해야 한다면 먼저 수집을 하라.

- 얘기하면 입만 아프지만 절차를 계획할 때는 실행 가능한 것 이어야 한다. 사고대응 정책이나 절차는 특히 결정적인 순간에 실행가능한지 시험되어야 한다. 가능하다면 절차들은 정확성과 속도문제를 고려한다면 자동화하는 것이 좋다. 조직적으로 질서있게 움직여라.

- 각각의 장치에 대해 수집절차 지침서에 입각한 조직적인 접근이 필요하다. 속도가 중요하기 때문에 많은 수의 장치에 대한 수집이 필요할 경우 팀에게 분배하여 병렬로 증거수집을 하는 것이 좋다. 하지만 하나의 시스템에 대해서는 한단계식 차례로 절차를 수행해야 한다.

- 휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다.(see the Order

         of Volatility below)

- 시스템 저장장치에 대해 bit 레벨의 복사를 수행해야 한다. 포렌식 분석을 할 때 파일의 access time 정보가 변경되기 쉽기 때문에 분석을 하기 위해서는 증거복사물에 대한 bit 레벨 복사를 해야 한다. 증거복사물을 가지고 분석을 하는 일이 없도록 한다.


2.1 휘발성의 순서 (Order of Volatility)

증거 수집을 할 때는 휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다. 다음은 보통의 시스템에 대한 휘발성 순서의 예이다.


      -  registers, cache


      -  routing table, arp cache, process table, kernel statistics,

         memory


      -  temporary file systems


      -  disk


      -  remote logging and monitoring data that is relevant to the

         system in question


      -  physical configuration, network topology


      -  archival media


2.2 피해야 할 일들 (Things to avoid)


부주의한 행동으로 인해 증거물을 파괴하는 경우가 많다.


- 증거수집이 끝날 때 까지 시스템을 끄지 말아야 한다. 많은 양의 증거물이 파괴될 것이고 공격자가 증거물을 파괴하기 위한 시작, 종료 스크립트를 작성했을 수도 있다.

- 시스템상에 있는 프로그램을 믿지 말아라. 증거물 수집을 위해 보호된 장치(e.g., CD)에 따로 마련한 프로그램을 사용하라.(see below)

- 모든 파일의 access time을 변경시키는 프로그램을 사용하지 말아라(e.g., tar or xcopy)

- When removing external avenues for change, note that simply

         disconnecting or filtering from the network may trigger

         "deadman switches" that detect when they're off the net and

         wipe evidence.


2.3 프라이버시의 고려


- 프라이버시관련 법률이나 회사의 지침에 위배되지 않도록 주의하라. 특별히 증거물과 함께 수집된 어떠한 정보도 그 정보에 대한 접근 권한이 없는 다른 사람에게 공개되지 않도록 주의하라. 이러한 정보에는 로그파일(사용자의 행동 패턴을 보일 수 있다.)과 개인의 데이터파일이 포함된다.

- 정당성 없이 사람들의 프라이버시를 침해해서는 안된다. 충분한 이유가 없는 이상 특별히 접근할 필요 없는 영역에 저장된 정보들에 대해 수집해서는 안된다.(개인 저장장치)

- 사건 현장에서 행하는 증거수집 행동들이 당신 회사가 수립한 절차에 지원을 받는 것인지(위배되지 않는 것인지) 확실히 한다.


2.4 법률적인 고려


컴퓨터 증거물들은...


- 증거로서 인정될 수 있어야 한다 : 법정에 제출되기 전에 특정 법률에 부합되도록 해야 한다.

- 인증된 것이어야 한다 : 증거물과 사건과의 확실한 연관이 가능해야 한다.

- 완벽해야 한다 : 특별한 관점에서가 아닌 전체를 증명할 수 있어야 한다.(It must tell the whole story and not just a particular perspective)

- 신뢰할 수 있어야 한다 : 증거물의 수집과 처리과정에서 증거물의 확실성(authenticity)과 진실성(veracity)을 의심할 수 있는 여지가 없도록 해야 한다.

- 믿을 수 있어야 한다 : 법정에서 쉽게 믿을 수 있어야하고 이해할 수 있어야 한다.


3 수집 절차


수집절차는 가능한 최대한 자세히 세분해야 한다. 사고처리 과정에서 모호한 일이 일어나지 않도록 해야 하고 수집과정에서 의사결정(decision-making)을 해야 하는 상황을 최소화해야 한다.


3.1 투명성(Transparency)

증거 수집을 위해 사용한 방법들은 투명해야하고 재현 가능(Reproducible)해야 한다. 사용했던 방법들을 정확하기 재현할 수 있어야 하고 이러한 방법들은 독립적인 전문가에게 테스트 되어야 한다.


3.2 수집 절차


- 증거물이 어디에 있는가? 어떠한 시스템이 사건에 연루되어 있는지 기록하고 어떤 시스템으로부터 증거물을 수집할 것인지도 기록한다.


- 무엇이 연관되어 있는 것이고 증거물로서 인정될 수 있는지 확실히 하고 확실치 않을 때는 가능한 많이(충분하지 못한 것 보다 낫다) 수집한다.


- 각각의 시스템에 대해 적절한 휘발성 순서로 증거물을 얻는다.


- 변경을 초래할 수 있는 외부접근 수단을 제거한다.


- Section 5에 기술되어 있는 툴들을 이용하여 휘발성 순서대로 증거를 수집한다.


- 시스템 클럭(clock)의 편차(drift)를 기록한다.


- Question what else may be evidence as you work through the

   collection steps.


- 각각의 절차를 문서화한다.

- 관련된 사람들에 대한 정보도 잊어서는 안된다. 누가 그곳에 있었는지 무엇을 하고 있었는지 어떻게 반응했는지 기록해야 한다.


가능하다면 수집된 증거물에 대해 체크섬을 계산하거나 암호학적인 서명을 하는 것이 좋다. 그렇게 하면 증거물 보존에 대한 증명을 쉽게 할 수 있다. 물론 이후 증거물을 변형해서는 안된다.


4 파일보관 절차


증거물들은 엄격하게 보호되어야 한다. 또한 Chain of Custody가 명확하게 문서화되어야 한다.


4.1 Chain of Custody


증거물이 어떻게 발견되었고 어떻게 다루어졌는지를 비롯한 증거물에 관련된 모든 일들을 명확하게 기술할 수 있어야 한다.


아래의 내용들이 문서화 되어야 한다.


      -  Where, when, and by whom was the evidence discovered and collected.

어디서, 언제, 누가 증거물을 발견하였고 수집하였는가?

      -  Where, when and by whom was the evidence handled or examined.

어디서, 언제, 누가 증거물을 다루었고 검사하였는가?

      -  Who had custody of the evidence, during what period.  How was it stored.

누가 어느기간에 증거물을 관리했는가, 어떻게 저장되었는가?

      -  When the evidence changed custody, when and how did the transfer occur (include shipping numbers, etc.).

언제 관리에 대한 변경이 일어났고, 언제 어떻게 이송되었는가?


4.2 어디서 어떻게 보관할 것인가(Where and how to Archive)


가능하다면 보통 사용되는 매체(not obscure storage)에 보관해야 한다. 증거물에 대한 접근은 엄격히 통제되어야 하고 명확하게 문서화되어야 한다. 인가되지 않은 접근을 발견할 수 있어야 한다.


5 필요한 툴들

read-only 매체(e.g., a CD)에 저장된 증거 수집과 포렌식과 관련된 프로그램들을 가지고 있어야 한다. 각각의 운영체제(OS)에 해당하는 툴들을 사전에 준비해야 한다.


툴들에는 다음과 같은 것들이 있다.


- 프로세스를 검사하기 위한 프로그램(e.g., ps)

- 시스템 상태(state)를 검사하기 위한 프로그램(e.g., showrev, ifconfig, netstat, arp)

- bit-to-bit 복사를 할 수 있는 프로그램(e.g., dd, SafeBack)

- 체크섬이나 서명(Signature)을 생성할 수 있는 프로그램 (e.g., sha1sum, checksum-enabled dd, SafeBack, pgp)

- Core image를 생성할 수 있는 프로그램(e.g., gcore, gdb)

- 증거수집을 자동화할 수 있는 스크립트(e.g., Ther Coroner's Toolkit[FAR1999])


사용하는 모든 프로그램은 정적으로 링크(statically linked)되어야 한다.(read-only 매체에 저장된 파일 이외에 다른 라이브러리나 파일들이 필요없어야 한다)

근래의 rootkit들은 LKM을 통해 설치되기 때문에 툴들을 이용하여 정확한 시스템의 출력을 얻을 수 없을지도 모른다는 것을 고려해야 한다.

또한 사용하는 툴들에 대해 확실성(authenticity)과 진정성(reliability)을 증명할 수 있어야 g한다.

Trackbacks 1 : Comments 0

Write a comment


NTFS on-disk structure

┃ System 2008.07.03 15:25

ntfs의 구조에 대한 자세한 내용을 다루고 있네요

http://book.itzero.com/read/microsoft/0507/microsoft.press.microsoft.windows.internals.fourth.edition.dec.2004.internal.fixed.ebook-ddu_html/0735619174/ch12lev1sec6.html

'┃ System' 카테고리의 다른 글

윈도우 글꼴 가독성 높이기(Clear type)  (0) 2009.03.18
OpenAFS  (0) 2008.10.02
NTFS on-disk structure  (0) 2008.07.03
format 정의  (0) 2008.06.03
일반 포맷과 빠른 포맷의 차이점  (4) 2008.05.29
Windows xp 디스크 포맷  (0) 2008.05.29
Trackbacks 0 : Comments 0

Write a comment


dd 명령

ⓔ Forensic 2008.07.02 22:15

아래는 dd에 대한 맨 페이지 번역자료이고 사실 dd 명령은 간단하다.

일단 이미지를 만들 디스크나 파티션을 확인한 후

# dd if=대상파티션 및 디스크 of=저장위치와 파일명

이면 끝...

출처 : http://blog.n-nuri.com/43

예를 들어 특정 파티션이 깨졌을경우 해당 파티션을(블럭 사이즈)

통채로 카피 할 수 있다.

ex) dd if=/dev/hda of=/dev/hdb bs=1024 count=xxxxx

a의 xxxxx 만큼을 b에 카피 하는 것...

아래는 관련 자세한 내용이다.

출처: http://man.linux.co.kr/?program=dd§ion=1



내용을 입력해 주세요 NAME
dd - 한 파일을 복사하는 동한 변환한다.

SYNOPSIS
dd [--help] [--version] [if=file] [of=file] [ibs=bytes]
[obs=bytes] [bs=bytes] [cbs=bytes] [skip=blocks]
[seek=blocks] [count=blocks]
[conv={ascii,ebcdic,ibm,block,unblock,lcase,ucase,swab,noer-
ror,notrunc, sync}]

DESCRIPTION
이 문서는 더이상 최신 정보를 담고 있지않다. 그래서, 몇몇
틀릴 경우도 있고, 부족한 경우도 있을 것이다. 완전한
매뉴얼을 원하면, Texinfo 문서를 참조하기 바란다.

이 매 뉴얼 페이지는dd 명령의 GNU 버전에 대한 것이다.
dd 명령은 지정한 블럭크기만큼 파일을 복사하는데, 사용된다.
초 기값으로는 표준 입력과 표준 출력을 사용한다. 또한 선택
적으로 그 파일의 변환도 수행한다. (즉, 파일을 특정 크기로
나누는데, 주로 사용됩니다. - 옮긴이 말)

OPTIONS
사용될 수 있는 블럭 크지 지정의 문자들은 다음과 같다:
b=512, c=1, k=1024, w=2, xm=number m

--help 도움말을 보여주고 마친다.

--version
버전 정보를 보여주고 마친다.

if=file
표 준 입력 대신에 지정한 file을 입력 대상으로 한다.

of=file
표준 출력 대신에 지정한 file을 출력 대상으로 한 다.
conv=notrunc 옵션을 사용하지 않는 한은, seek= 바이
트 크기에 따라 ( seek= 크기가 0아닌 한) 지정한 크기
에 따라 출력 파일을 자른다.

ibs=bytes
한번에 bytes 바이트씩 읽는다.

obs=bytes
한번에 bytes 바이트씩 쓴다.

bs=bytes
한번에 bytes 바이트씩 읽고 쓴다. ibs, obs 값 무시.

cbs=bytes
한번에 bytes 바이트씩 변환한다.

skip=blocks
입력 시작에서 blocks 단위 만큼 ibs 크기를 건 너 띈
다.(가령 skip=5, ibs=10 이면, 처음 50바이트를건너띄

FSF GNU File Utilities 1

DD(1) DD(1)

어 작업을 계속한다.)

seek=blocks
출력 시작에서 blocks 단위 만큼 ibs 크기를 건너띈다.

count=blocks
입력의 blocks 의 ibs 크기만큼만 복사한다.

conv=conversion[,conversion...]
대상 파일로 복사할 때, conversion 으로 변환 한다.
Conversions:

ascii EBCDIC 코드를 ASCII 코드로.

ebcdic ASCIi 코드를 ebcdic 코드로.

ibm ASCII 코드를 alternate EBCDIC 코드로.

block cbs 단위로 변환 할 때 읽은 것 안에 있는 줄바
꿈 문자들을공백 문자로 바꾼다.

unblock
cbs 단위로 변환 할 때 읽은 것 안에 있는 공백
문자들을줄바꿈 문자로 바꾼다.

lcase 대문자를 소문자로

ucase 소문자를 대문자로

swab 입력되는 두 바이트의 순서를 바꾼다. 유닉스
의 dd 명령과 달리, 이것은 읽혀질 짝이 맞 지
않는 추가 바이트 하나가 생겼을 때는그냥 그대
로 작업한다. 즉, 입력 파일에서 짝이 맞지 않
는 하나의 바이트가 남으면, 마지막 바이트는
그냥 단순히 복사된다. (이것의 순서가 바뀌지
않는한)

noerror
오류를 읽어도 계속 한다.

notrunc
출력 파일을 자르지 않는다.

sync ibs 블럭 크기와 obs 블럭 크기가 차이가 있을
경우, 그 여백을 NULL문자로 채운다.

영문자료 : http://www.softpanorama.org/Tools/dd.shtml

Trackbacks 0 : Comments 0

Write a comment