태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'forensic'에 해당되는 글 21건

  1. 2011.03.16 ACE 패쓰
  2. 2011.03.04 Road Masster를 만져보다 @.@ (1)
  3. 2011.03.04 EnCase Portable로 모바일 포렌식 하기??!!?!? (1)
  4. 2011.01.13 포렌식 라이브 CD(Forensic Live CD)
  5. 2011.01.11 [기사스크랩] 디스크암호화 해독기법 - 전원off 후 5분내 암호해독 단서 찾기
  6. 2011.01.07 Steganography VIII - Hiding Data in Wave Audio Files
  7. 2010.05.31 모든 파일시스템 비교 자료
  8. 2010.04.01 EnCase - SC Magazine's 2010 Reader Trust Award
  9. 2009.12.14 폴더/파일 액세스 날짜가 변경되는 경우 분석 (2)
  10. 2009.10.29 마이크로소프트 PST 로드맵 공개
  11. 2009.10.11 [E-mail 포렌식] 이메일과 예약의 변조 분석하기
  12. 2009.10.05 FAT16/32 파일 복구 프로그램 개발 중... (7)
  13. 2009.09.21 FinalForensic 3.1 초간단 리뷰
  14. 2009.09.16 DKOM 탐지 방법
  15. 2009.07.23 IIS 로그 포렌식
  16. 2009.07.20 iDEFENSE LABS - 멀웨어 분석 도구 사이트
  17. 2009.07.18 해쉬 계산기
  18. 2009.07.13 나쁜 GS...!!?!?!?!! (8)
  19. 2009.06.16 Unix 장비별 MAC Address 확인 방법
  20. 2009.04.26 2009 Hacking Defence & Conference 개최
  21. 2008.07.03 NTFS on-disk structure

ACE 패쓰

┃ 끄적끄적 2011.03.16 08:23
턱걸이...ㅋㅋ
사용자 삽입 이미지

'┃ 끄적끄적' 카테고리의 다른 글

레오폴드 FC900R과 바밀로 PBT 키캡 후기  (0) 2017.02.22
ACE 패쓰  (0) 2011.03.16
'요일별 직장인 표정'  (0) 2010.09.03
외국인도 좋아하는 뽀글이  (2) 2010.04.20
이직...  (6) 2010.02.26
드라마 IRIS의 IP추적 장면  (6) 2009.11.27
Trackbacks 0 : Comments 0

Write a comment


Road Masster를 만져보다 @.@

ⓔ Forensic 2011.03.04 16:25
로드마스터...굉장히 클줄 알았지만 생각보다 작은 외형이었다.

하지만...무게는 굉장했다. ㅋ

기본 32비트 Windows XP Embbed 운영체제와 Image Masster가 설치되어있었고,

CPU 제논 2.33GHz?였나, + 4기가 램

해쉬계산 생략으로 디스크 복제 테스트 결과 평균 분당 5기가의 복제능력을 발휘하였다.
사용자 삽입 이미지
사용자 삽입 이미지


SATA, SCSI, USB 등의 포트를 지원하고 suspect에 원본을, evidence에 사본 디스크를 연결하여 사용한다.
사용자 삽입 이미지

로드마스터는 전원을 킨 상태에서 장치 연결이 가능하다.

대신 연결을 위해서는 Image Masster를 통해야만 하는데,  Detect 기능을 통해 연결한 매체를 탐색한 후 복제를 시작한다.

윈도우단에서 USB메모리를 연결하기 위해서는 첫번째 detect, 두번째 mount를 수행하면 된다.

각종 복제 모드가 있지만 복제할 섹터 범위를 설정하는 기능은 현재 내 눈엔 보이지 않는다...ㅡㅡ;;

와이핑, 이미지 분할 저장, 여러 해쉬계산 기능, 1:2 복제기능이 있으며, 작업로그는 모두 파일로 기록이 되므로 파일을 오픈하여 확인이 가능하다.

이 장비가 왜 이리 비싼지는 이해하지 못하겠지만...쓸만하다...^^
Trackbacks 0 : Comments 1
  1. justjhs 2011.09.12 19:38 Modify/Delete Reply

    흠...좋아보이네ㅋㅋ

Write a comment


EnCase Portable로 모바일 포렌식 하기??!!?!?

ⓔ Forensic 2011.03.04 14:53
http://www.boannews.com/media/view.asp?idx=24994&kind=1

EnCase Portable을 모바일포렌식도구로 소개하고 있는 이 기사(위 링크)를 쓰신 분께 물어봐야겠음..
Trackbacks 0 : Comments 1
  1. justjhs 2011.09.12 19:39 Modify/Delete Reply

    ㅋㅋㅋㅋ이거 물어봤어??ㅋ

Write a comment


포렌식 라이브 CD(Forensic Live CD)

ⓔ Forensic 2011.01.13 09:48

메일링 중에 누군가 forensic live CD에 대해 묻자 여러 사람들이 답변한 것들을 모아봄.

1. BackTrack
- URL : http://www.backtrack-linux.org/

사용자 삽입 이미지



2. DEFT Linux(Computer Forensics Live CD)
- URL : http://www.deftlinux.net/
사용자 삽입 이미지



3. Caine(Computer Forensics Linux Live Distro)
- URL : http://www.caine-live.net/
사용자 삽입 이미지



4. IRItaly(Incident Response Utaly Project)
- URL : http://www.iritaly-livecd.org/
사용자 삽입 이미지


* 기타 참고자료 : http://www.forensicswiki.org/wiki/Tools

Trackbacks 0 : Comments 0

Write a comment


[기사스크랩] 디스크암호화 해독기법 - 전원off 후 5분내 암호해독 단서 찾기

ⓔ Forensic 2011.01.11 09:19
디스크 암호화 해독 기법에 대해서 연구하고 싶어졌다..


기사 원문 : http://news.joinsmsn.com/article/455/4908455.html?ctg=1200


컴퓨터 꺼도 남는 ‘5분 흔적’ 잡아채 암호 단서 포착

[중앙일보]입력 2011.01.11 00:28 / 수정 2011.01.11 00:58

구글 정보 도둑질 잡은 한국 경찰, 난수표 암호 어떻게 풀었나

사용자 삽입 이미지

수사관이 들이닥칠 때 용의자가 증거를 숨기기 위해 컴퓨터 전원을 꺼도 5분 안에만 메인 메모리를 뒤지면 암호 열쇠의 단서를 찾을 가능성이 있다. 메모리에 저장된 정보가 전원을 끄는 즉시 사라져 버리는 것은 아니기 때문이다. [미국 프린스턴대 제공]

세계 최대 정보검색 업체인 구글이 개인정보 무단 수집 혐의로 한국 경찰의 수사를 받고 있다. 경찰청 사이버테러대응센터는 지난해 8월 구글코리아 에서 압수한 하드디스크를 해독해 그 증거를 잡았다. 대응센터가 어떻게 구글의 암호를 풀고 증거를 확보했을까.

 대응센터 이병길 수사관이 1년여 전 외국인 해커를 검거한 과정을 통해 이를 추정해볼 수 있다. 당시 해커는 국내 기업을 해킹해 설계도면 등 비밀자료를 빼낸 뒤 요구한 돈을 받으러 한국에 왔다. 기업 관계자를 만나기 위해 커피숍에 나와 있던 해커는 검거 당시 외장 하드디스크를 갖고 있었다. 증거가 되는 설계도면 등이 들어 있을 것으로 추정됐다. 하지만 외장 하드디스크 안의 모든 파일은 최강 암호화 프로그램 중 하나인 ‘트루크립트(TrueCrypt)’로 암호화돼 있었다. 암호를 알지 못하면 해커를 그냥 놓아줄 수밖에 없는 상황이었다. 순간 이 수사관은 해커가 켜놓은 노트북에 주목했다. 이 수사관은 즉시 해커 노트북의 메인 메모리(RAM)에 들어 있는 내용물을 모두 복사했다. 해커가 외장 하드디스크에 접속하기 위해 사용했을 비밀번호 등 암호를 푸는 단서가 있을 수 있기 때문이다. 일반적으로 컴퓨터를 꺼도 메인 메모리는 5분 정도는 일부 정보를 갖고 있다. 이 경우 남아 있는 정보에서 암호 열쇠의 흔적을 찾을 수도 있다. 수사대는 독자 개발한 암호 찾기 소프트웨어에 해커 컴퓨터에서 복사한 데이터를 걸었다. 몇 초 만에 외장 하드디스크 접속 암호와 암호화한 파일용 암호가 나왔다. 32비트로 ‘2C 01 AF 4A 2E 6C 7E 4B’와 같은 ‘수수께끼 자물쇠’가 4줄이나 됐다. 이런 긴 암호를 하나하나 숫자와 문자를 대입해 푸는 것은 사실상 불가능하다. 이 암호로 외장 하드디스크를 열자 그 속에는 국내 기업 컴퓨터를 해킹해 빼낸 설계도면 등 비밀자료들이 고스란히 남아 있었다.

사용자 삽입 이미지

 암호는 어떤 프로그램이나 패스워드를 써도 컴퓨터 안에 흔적이 남는다. 수사관들이 추적하는 것은 바로 그 흔적이다. 흔적이 남는 곳은 컴퓨터의 메인 메모리와 하드디스크다. 그 속에 각종 자료가 있지만 그곳으로 들어가 파일을 열어볼 수 있는 암호 열쇠 역시 함께 있는 경우가 많다. 구글 하드디스크의 경우는 더 어려웠다. 암호가 이중으로 걸려 있었기 때문이다. 컴퓨터를 켤 때도 암호를 입력해야 했고, 이를 통과한 뒤에도 하드디스크 안의 파일이 통째로 암호화 프로그램으로 막혀 있었다. 더욱이 하드디스크 안의 파일은 ‘트루크립트’ ‘비트라커(BitLocker)’ 등 시중에 나와 있는 눈에 익은 프로그램이 아닌, 구글이 직접 개발한 프로그램에 의해 잠겨 있었다. 이중의 벽에 막힌 수사관들은 우선 압수한 컴퓨터의 하드디스크부터 복사했다. 원본을 가지고 암호를 풀려고 조작하다 보면 데이터를 날릴 수 있기 때문이다. 그런 다음 하드디스크에서 접속 암호의 단서를 추적했다. 아울러 떼낸 하드디스크를 암호가 걸려 있지 않은 다른 컴퓨터에 연결해 접속 인증 과정을 생략하는 방식도 시도했다. 이런 과정을 거쳐 첫 번째 관문을 통과했다. 두 번째 암호와 맞닥뜨린 수사팀은 하드디스크에 저장된 자료의 앞부분을 주목했다. 거기에는 ‘10 4C AB 2A 7E’와 같은 숫자·문자의 조합이 난수표처럼 배열돼 끝없이 이어지고 있었다. ‘바로 이거다’라는 생각이 직감적으로 들었다. 수사팀은 준비한 암호 해독 규칙을 난수표 같은 문장에 역으로 적용해 수많은 정보를 평문으로 만들었다. 암호 열쇠인 듯한 기록만 골라내 이리저리 대입해 보기를 수백 차례, 어디선가 보호색으로 위장한 카멜레온(암호)이 잠시 눈을 떴다. 그 짧은 눈의 번득임을 수사팀은 놓치지 않았다. 순식간에 카멜레온의 목덜미를 낚아챘다. 두 번째 비밀의 문도 그렇게 열렸다.

 대응센터 정석화 수사팀장은 “모든 컴퓨터의 암호를 다 풀기는 어려워도 상당 부분은 그 흔적이 남기 때문에 찾을 가능성이 크다”고 말했다.

박방주 과학전문기자, 박혜민 기자

Trackbacks 0 : Comments 0

Write a comment


Steganography VIII - Hiding Data in Wave Audio Files

ⓔ Forensic 2011.01.07 15:02

출처 : http://www.codeproject.com/KB/security/steganodotnet8.aspx

사용자 삽입 이미지

Trackbacks 0 : Comments 0

Write a comment


모든 파일시스템 비교 자료

┃ System 2010.05.31 00:52
위키에 이렇게 잘 정리되어 있을 줄이야...-0-

http://en.wikipedia.org/wiki/Comparison_of_file_systems

아래 자료 외에도 위 링크로 들어가시면 각 파일시스템들의 한계, 메타데이터 여부 등도 표로 잘 정리되어 있습니다.



General information
File system Creator Year
introduced
Original operating system
DECtape DEC 1964 PDP-6 Monitor
Level-D DEC 1968 TOPS-10
George 2 ICT (later ICL) 1968 George 2
V6FS Bell Labs 1972 Version 6 Unix
ODS-1 DEC 1972 RSX-11
RT-11 file system DEC 1973 RT-11
DOS (GEC) GEC 1973 Core Operating System
CP/M file system Gary Kildall 1974 CP/M
OS4000 GEC 1977 OS4000
FAT12 Microsoft 1977 Microsoft Disk BASIC
DOS 3.x Apple Computer 1978 Apple DOS
Pascal Apple Computer 1978 Apple Pascal
CBM DOS Commodore 1978 Microsoft BASIC (for CBM PET)
V7FS Bell Labs 1979 Version 7 Unix
ODS-2 DEC 1979 OpenVMS
DFS Acorn Computers Ltd 1982 Acorn BBC Micro MOS
ADFS Acorn Computers Ltd 1983 Acorn Electron (later Arthur RISC OS)
FFS Kirk McKusick 1983 4.2BSD
ProDOS Apple Computer 1983 ProDOS 8
MFS Apple Computer 1984 Mac OS
Elektronika BK tape format NPO "Scientific centre" (now Sitronics) 1985 Vilnius Basic, BK monitor program
HFS Apple Computer 1985 Mac OS
Amiga OFS[11] Metacomco for Commodore 1985 Amiga OS
High Sierra Ecma International 1985 MS-DOS, Microsoft Windows, Mac OS
NWFS Novell 1985 NetWare 286
FAT16 Microsoft 1987 MS-DOS 3.31
Minix V1 FS Andrew S. Tanenbaum 1987 Minix 1.0
Amiga FFS Commodore 1988 Amiga OS 1.3
HPFS IBM & Microsoft 1988 OS/2
ISO 9660:1988 Ecma International, Microsoft 1988 MS-DOS, Microsoft Windows, Linux, Mac OS X, FreeBSD, and AmigaOS
JFS1 IBM 1990 AIX[1]
VxFS VERITAS 1991 SVR4.0
WAFL NetApp 1992 Data ONTAP
AdvFS DEC 1993 [2] Digital Unix
NTFS Version 1.0 Microsoft, Gary Kimura, Tom Miller 1993 Windows NT 3.1
LFS Margo Seltzer 1993 Berkeley Sprite
ext2 Rémy Card 1993 Linux, Hurd
UFS1 Kirk McKusick 1994 4.4BSD
XFS SGI 1994 IRIX, Linux, FreeBSD
HFS IBM 1994 MVS/ESA (now z/OS)
Joliet ("CDFS") Microsoft 1995 Microsoft Windows, Linux, Mac OS X, and FreeBSD
UDF ISO/ECMA/OSTA 1995 -
FAT32 Microsoft 1996 Windows 95b[3]
QFS LSC Inc, Sun Microsystems 1996 Solaris
GPFS IBM 1996 AIX, Linux, Windows
Be File System Be Inc., D. Giampaolo, C. Meurillon 1996 BeOS
Minix V2 FS Andrew S. Tanenbaum 1997 Minix 2.0
HFS Plus Apple Computer 1998 Mac OS 8.1
NSS Novell 1998 NetWare 5
PolyServe File System (PSFS) PolyServe 1998 Windows, Linux
ODS-5 DEC 1998 OpenVMS 7.2
ext3 Stephen Tweedie 1999 Linux
ISO 9660:1999 Ecma International, Microsoft 1999 Microsoft Windows, Linux, Mac OS X, FreeBSD, and AmigaOS
JFS IBM 1999 OS/2 Warp Server for e-business
GFS Sistina (Red Hat) 2000 Linux
Melio FS Sanbolic 2001 Windows
NTFS Version 5.1 Microsoft 2001 Windows XP
ReiserFS Namesys 2001 Linux
zFS IBM 2001 z/OS (backported to OS/390)
FATX Microsoft 2002 Xbox
UFS2 Kirk McKusick 2002 FreeBSD 5.0
Lustre Sun Microsystems/Cluster File Systems 2002 Linux
OCFS Oracle Corporation 2002 Linux
VMFS2 VMware 2002 VMware ESX Server 2.0
Fossil Bell Labs 2003 Plan 9 from Bell Labs 4
Google File System Google 2003 Linux
ZFS Sun Microsystems 2004 Solaris, FreeBSD (64-bit?)
Reiser4 Namesys 2004 Linux
Non-Volatile File System Palm, Inc. 2004 Palm OS Garnet
Minix V3 FS Andrew S. Tanenbaum 2005 MINIX 3
OCFS2 Oracle Corporation 2005 Linux
NILFS NTT 2005 Linux, NetBSD
VMFS3 VMware 2005 VMware ESX Server 3.0
GFS2 Red Hat 2006 Linux
ext4 various 2006 Linux
exFAT Microsoft 2006,2009 Windows CE 6.0, Windows XP SP3, Windows Vista SP1
TexFAT/TFAT Microsoft 2006 Windows CE 6.0
NTFS Version 6.0 Microsoft 2006 Windows Vista
Btrfs Oracle Corporation 2007 Linux
HAMMER Matthew Dillon 2008 Dragonfly BSD
WBFS Wii Homebrew 2009 Wii, Wii Linux, Windows using WBFS Manager
Oracle ACFS Oracle Corporation 2009 Linux - Red Hat Enterprise Linux 5 and Oracle Enterprise Linux 5 only


 

'┃ System' 카테고리의 다른 글

모든 파일시스템 비교 자료  (0) 2010.05.31
vmware파일(vmdk) 들여다보기  (2) 2009.04.16
프로세스 정보 목록  (0) 2009.04.15
윈도우 글꼴 가독성 높이기(Clear type)  (0) 2009.03.18
OpenAFS  (0) 2008.10.02
NTFS on-disk structure  (0) 2008.07.03
Trackbacks 0 : Comments 0

Write a comment


EnCase - SC Magazine's 2010 Reader Trust Award

┏ Interesting News 2010.04.01 08:57
EnCase가 최고의 컴퓨터 포렌식 솔루션 부분에서 SC 매거진의 2010 구독자 신용상(?...이렇게 해석하는게 맞나 ㅋ)에 선정되었네요^^

기사보기 : http://www.forensicfocus.com/index.php?name=News&file=article&sid=1372
Trackbacks 0 : Comments 0

Write a comment


폴더/파일 액세스 날짜가 변경되는 경우 분석

ⓔ Forensic 2009.12.14 01:09

1. Windows XP

1) 폴더

(1) 변경되는 경우

a. 마우스 커서를 폴더 위에 올려놓아 메타데이터 정보를 보았을 때

b. 폴더를 더블클릭하여 안의 내용물을 보았을 때

c. 다른 탐색기 프로그램(everything)을 이용하여 해당 폴더안의 파일에 바로 접근한 경우


(2) 변경되지 않는 경우

a. 다른 탐색기 프로그램(everything)을 이용하여 해당 폴더안의 하위폴더에 바로 접근한 경우

※ 폴더의 경우, 같은 날에 접근하면 시간은 변경되지 않는다. 자세히 얘기하자면, 마지막 액세스한 시간이 ‘12월 1일 12:34:56’으로 저장되어 있는 폴더에 12월10일 15:15:15에 접근한 경우에는 마지막 액세스한 날짜가 ‘12월10일 15:15:15’로 변경된다. 하지만 같은 날 12월 10일 20:20:20에 접근하더라도 마지막 액세스한 날짜는 바뀌지 않고 ‘12월10일 15:15:15’ 그대로 유지되게 된다. 폴더안의 파일/폴더를 열어보아도 시간은 변경되지 않는다.

 

2) 파일 

(1) 변경되는 경우

a. 마우스 커서를 파일 위에 올려놓아 메타데이터 정보를 보았을 때

b. 파일을 더블클릭하여 실행/열기 등을 하였을 때

c. 파일을 마우스로 선택하여 하이라이트 하였을 때

 

(2) 변경되지 않는 경우

(찾는 중...)

 

2. Windows Vista/7

※ Vista/7은 기본적으로 액세스 날짜가 변경되지 않도록 설정되어 있다. 액세스 날짜를 활성화시키려면 아래의 레지스트리 경로에 위치한 값을 수정해주어야 한다.


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem\

NtfsDisableLastAccessUpdate=1


NtfsDisableLastAccessUpdate 를 0으로 변경한 후, 재부팅하면 액세스 날짜가 활성화된다.


파일 및 폴더의 액세스 날짜가 변경되는 경우는 XP와 일부 동일하지만, 몇 가지 경우에서 차이가 난다.

 

1) 폴더

XP와 모두 동일


2) 파일

(1) 변경되는 경우

a. 압축파일인 경우, 파일을 더블클릭하여 실행/열기 등을 하였을 때

b. 파일(압축파일 포함)을 우클릭하여 메뉴를 볼 때

c. 텍스트 파일을 수정하였을 때


(2) 변경되지 않는 경우

a. 마우스 커서를 파일 위에 올려놓아 메타데이터 정보를 보았을 때

b. 파일을 마우스로 선택하여 하이라이트 하였을 때

c. 파일의 이름을 변경할 때

d. 텍스트 파일의 경우 수정시도만 하였을 때


※ Vista/7의 경우, XP와 다르게 파일 및 폴더 둘 다 같은 날에 접근하면 시간은 변경되지 않는다. 하지만 파일의 경우, 내용을 수정하게 되면 시간까지 변경된다.



p.s. 해당 내용에 대해 수정할 부분이 있다면 지적해주시고, 다른 변경 요소들에 대한 추가의견 많이 부탁드립니다. 여러번 삽질해서 작성해봤는데, 상당히 헷갈리더군요.^^;

Trackbacks 0 : Comments 2
  1. 지나가던 2010.06.21 21:53 Modify/Delete Reply

    Windows7 사용중입니다. 레지스트리를 0으로 하지 않았는데도 엑세스한 날짜가 보이는 것은 무엇인가요?
    어제 연 파일을 보니까 어제 날짜가 떠 있긴 한데 오늘 다시 열어보고 다시 정보를 보니
    그대로 어제 날짜로 되어있네요. 레지스트리를 0으로 하고 보니까 바로 현재시간으로 나와버리고.. 아리송 하네요~

    • Favicon of https://suban.tistory.com BlogIcon suban 2010.06.30 15:00 신고 Modify/Delete

      아이고~! 먼저 답변이 늦어 죄송합니다.ㅜㅜ
      활성화라는 단어가 오해를 불러일으킨 것 같습니다.
      액세스 날짜란 최종 접근 시간을 보여주는 것인데 비스타 이상은 그 기능이 비활성화되어있습니다. 활성화된다는 말은 액세스 날짜에 변경이 오도록 한다는 말입니다.
      정리를 하자면 액세스날짜는 윈도우탐색기에서 보여집니다. 하지만 최근 접근한 시간으로는 변경되지 않기때문에 레지스트리에서 최근접근시간기록을 활성화시키는 것입니다.^^

Write a comment


마이크로소프트 PST 로드맵 공개

ⓔ Forensic 2009.10.29 16:47
MS에서 PST 파일 포맷에 대한 로드맵을 공개했다는 소식입니다.

< 세부내용 보기 >

아웃룩 설치없이 다른 방법으로도 분석이 가능해졌네요.

전에 libpff로 pst 파일을 분석했던 보고서(이메일과 예약의 변조 분석하기)를 번역해 올린적이 있는데, 이분들이 좋아라 하시겠습니다.
Trackbacks 0 : Comments 0

Write a comment


[E-mail 포렌식] 이메일과 예약의 변조 분석하기

ⓔ Forensic 2009.10.11 01:29

Joachim Metz에 의해 작성된 보고서이다. 아웃룩에서 사용되는 PST/OST를 분석해 이메일 시간 변조 여부를 밝혀내고 있다. 오픈소스인 libpff를 사용하여 분석한 케이스!!

libpff는 PAB, PST, OST에서 사용되는 PFF를 분석하여 아이템의 정보를 추출하고 복구하는 아웃룩 전용 분석 도구이다.

오픈소스라는 말이 나와 다는 아니지만 운영체제별로 오픈소스 포렌식 도구를 소개하는 사이트를 하나 소개할까 한다.

http://www.opensourceforensics.org/

이 보고서를 번역하면서 느낀 거지만 역시 해외는 파일 포렌식까지 활발히 연구가 이루어지고 있다는 점이 대단해 보였다.

나름 디스크포렌식을 공부하는 본인에게 파일포렌식이라는 추가 과제가 던져지는 듯 하다.

느낀점은...음...이런 발견을 했을 때의 그 짜릿함과 환호를 나도 느끼고 싶다!!

p.s. 어색한 번역이므로 넓으신 아량으로 봐주시길...

--------------------------------------------------------------------------------------------------
원문 : http://blogs.sans.org/computer-forensics/?s=E-mail+and+appointment+falsification+analysis
--------------------------------------------------------------------------------------------------

이메일과 예약 위조 분석

 

마이크로 소프트의 Outlook/Exchange에서 이메일과 예약 위조 분석

 

Joachim Metz 작성

Hoffmann 연구소

 

개요

 

디지털 포렌식 분석에서 가끔 이메일이 변조되었는지 아닌지 알아낼 필요가 있다. 문서에서는 마이크로 소프트사의 Outlook/Exchange 환경에서 이메일이 변조되었거나 예약들이 바뀌어진 것들을 알아내는데 도움을  아웃룩 메신저 어플리케이션 프로그래밍 인터페이스의 리뷰가 제공될 것이다.

 

libpff 프로젝트에 대해

 

2008 호프만 연구소의 포렌식 조사관, Joachim Mets 의해서 libpff 프로젝트가 시작되었다. 당시 일반 도메인에서는 개인 폴더 파일(PFF)에 대한 가장 좋은 소스가 libpst 프로젝트였다. libpst 프로젝트는 지난 2002년에 David Smith, Joe Nahmias, Brad Hards, Carl Byington 의해 배포되고 관리되었다.

 

하지만 그당시 libpst 라이브러리가 아니었고 PST OST 파일들안의 삭제된 아이템들을 복구하는 기능을 지원하지 않았다. 삭제된 아이템을 복구하는 기능을 지원하는 PST OST 위한 공유 라이브러리를 생성하는 것이 libpff 프로젝트의 초기 목적이었다. 삭제된 아이템들을 복구하는 것은 PFF 포맷의 내부 구조에 대해 상세한 지식을 요구한다. 이것은 재미있는 여행의 시작일 뿐이다.

 

2009 3 PFF 포렌식은 처음에 Hoffmann Advanced Forensic Sessions (HAFS)에서 마이크로소프트 오피스 포렌식의 일부로써 논의되었다. 개인폴더파일(Personal Folder File)이라 제목 지어진 문서는 HAFS의 일부분으로써 발행된 것이다. 이 문서는 난제를 확실히 이해시키기 위해 PFF 포맷의 기본사항에 대해 설명한다. 문서와 세미나 모두 주요 결론은 서로 다른 포렌식 도구들이 PST OST파일들 안에 삭제된 아이템들을 복구할 때 서로 다른 결과를 제공한다는 것이다.

 

그 사이에 libpff 프로젝트는 진화되었다. PFF 포맷의 지속적인 분석과 희생으로 그 파일 포맷의 새로운 단면을 발견하게 되었다. PFF 아이템들은 수신자, 서브폴더, 서브메세지와 서브와 관련된 아이템들에 대한 정보를 일부 담고 있다.

 

또한 MAPI에 대한 유용한 많은 정보들을 구할 수 있다. OpenChange 프로젝트는 MAPI의 오픈소스 실행을 위한 libmapi를 제공한다. 그리고 MFCMAPI 프로젝트는 많은 MAPI 정보를 MSDN에서 구할 수 있도록 제공한다.

 

호프만 연구소내에서 libff는 두 가지 목적을 위해 일해왔다. 먼저 첫번째는 다른 포렌식 도구에서 발견된 참조자료를 교차시키고 두번째는 그런 포렌식 도구들보다 PST OST 파일들에 대한 더 많은 정보를 제공하는 것이다. 2009 11, 다가오는 HAFS에서 PFF 포렌식은 주요 논의 그 이상이 될 것이다. 그 동안 이 문서에서는 재미있는 발견들이 제공될 것이다.

 

목차

 

1. 소개
  1.1.
배경

2. 변조된 이메일 메세지

  2.1. 이메일 body

  2.2. 대화 인덱스

3. 수정된 예약

4. 결론

부록 A. 참조

부록 B. GNU Free Documentation License

 

1. 소개

변조된 이메일과 예약을 걸러내기 위해 당신에게 맞는 포렌식 분석 도구를 가지고 있는 것이 좋을까? 하지만 대부분 현재의 포렌식 도구들은 이메일 메세지와 예약의 신뢰성에 대해 적은 정보를 제공한다. 그러므로 확실한 분석이 수동으로 행해져야 한다. 이 문서는 마이크로소프트 Outlook/Exchange 환경에서 변조된 이메일을 식별하는데 도움을 줄 Outlook 메세지 어플리케이션 프로그래밍 인터페이스(MAPI)의 일부분에 대한 이해를 제공할 것이다.

 

1.1 배경

 

만약 당신이 기업 환경의 필드에서 포렌식 조사관이라면 아마 대부분 마이크로 Outlook Exchange를 다룰 것이다. MAPI는 프로그래밍 인터페이스일뿐만 아니라 이메일 속성에 관한 정보의 유용한 자원이다. PST OST를 위해 마이크로소프트 Outlook에 사용되는 개인 폴더 파일 포맷을 분석이 쉽지 않다면 이 문서를 읽기 위해 [METZ09]를 읽도록 조언한다.

 

2. 변조된 이메일 메세지

 

최근 조사에서 우리는 사용자가 특정 날짜와 시간에 보낸 이메일이 있는지 조사해야만 했다. 송신자와 수신자 모두의 메일박스안에 이메일의 존재 여부를 알아내는 것부터 시작했다. 그러나 포렌식 관점에서 매우 재미있었던 다른 특성이 있었다.

 

2009 3 10일 자 이메일이 2009 3 17일에 전송되었다. 원본 이메일은 어떤 메일박스에서도 찾을 수 없었다. 첫번째 변조 징후는 전송된 이메일에 찍힌 월()의 일()자 변조였다.  3 10일의 0이 깔끔한 검정색인 주위의 글씨와 다르게 회색이었다.

 

2.1. 이메일 바디

 

Outloo/Exchange에서 이메일메세지는 RTF와, 또는 HTML 바디 텍스트를 포함할 수 있다. RTF HTML 포맷 모두 체계화된 코드를 사용한다. 체계화된 코드를 사용하여 body 텍스트를 로우레벨로 분석하였다. 대부분 쉽게 구할 수 있는 포렌식 도구들은 이런 체계화된 코드들에 접근을 제공하지 않지만 운좋게 우리에겐 libpff와 분석할 수 있는 도구가 있다.

 

verbose libpff를 컴파일하고 결과를 디버그하고 pffexport verbose 옵션(-v)을 이용하여 PST 파일을 추출하여 자세한 디버그 로그 파일을 생성하였다. 이 로그파일에서 우리는 이메일과 RTF body를 찾았다. RTF body에서 다음의 정보를 발견했다.

 

{\*\htmltag84 <b>}\htmlrtf {\b \htmlrtf0 Sent:
{\*\htmltag92 </b>}\htmlrtf }\htmlrtf0 Tuesday March 1
{\*\htmltag84 <span style='color:#1F497D'>}\htmlrtf {\htmlrtf0 0
{\*\htmltag92 </span>}\htmlrtf }\htmlrtf0 , 2009 13:48
{\*\htmltag116 <br>}\htmlrtf \line<BR>
\htmlrtf0
{\*\htmltag4 \par }

 

전송된 다른 이메일을 참고하여 we established that the bold formatting code should not be there.(번역이 애매모호해 그냥 이렇게...)

 

2.2. 대화 인덱스

 

존재하는 이메일 메세지를 찾는 중, 우리는 원본 이메일이 2009 3 10일에 생성된 것이 아니라 사실 2009 3 17일에 생성되고 변조되었다고 가정하였다. 송신자와 수신자의 메일박스에 원본 이메일 메세지의 부족을 제외한 다른 증거를 원했다.

 

'대화 추적하기(Tracking Conversations'라는 MSDN 글은 우리에게 상당히 신뢰할만한 답을 제공한다.

 

MSDN 'Tracking conversations' : http://msdn.microsoft.com/en-us/library/cc765583.aspx

(아래의 설명들을 위한 참조자료이다. MAPI에서의 메세지 저장 구조에 대한 설명이다.)

 

이 설명대로 PFF 포맷을 리버스 엔지니어링하여 1이란 값으로 되어 있는 하나의 예약된 바이트를 포함하는 헤더 블락 부분이 사실 파일시간의 첫번째 바이트라는 것을 알았다. 따라서 파일시간은 5바이트가 아니라 6바이트이다. 대화 인덱스의 헤더 블락안의 날짜와 시간은 이메일 메세지의 생성 날짜 및 시간과 일치한다.

 

MSDN 설명에 따르자면, 자식(child) 블락은 헤더 블락안에 저장되어 있는 시간이 아니며 현재와 예전 시간사이에 차이점을 포함한다고 한다. 이것이 여러 이메일들의 생성 날짜와 시간으로 사용된다.

 

특정 이메일의 대화 인덱스를 해석해보면 :

 

0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Mar 17, 2009 10:13:04 UTC
GUID : 11111111-2222-3333-4444-555555555555
Child block: 1
Filetime : Mar 17, 2009 10:18:03 UTC
Random number : 2
Sequence count : 0
Child block: 2
Filetime : Mar 17, 2009 10:24:01 UTC
Random number : 9
Sequence count : 0
Child block: 3
Filetime : Mar 17, 2009 10:42:39 UTC
Random number : 9
Sequence count : 0
Child block: 4
Filetime : Mar 17, 2009 10:45:36 UTC
Random number : 14
Sequence count : 0
Child block: 5
Filetime : Apr 17, 2009 07:19:08 UTC
Random number : 8
Sequence count : 0

 

자식 블락안의 날짜와 시간이 생성 날짜와 시간과 맞지 않고 바뀐 것에 유념하라. 이런 변조의 실질적 이유는 아직 알려지지 않았다.

 

0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Apr 17, 2009 08:41:20 UTC

 

하지만 대화 인덱스에서 2009 3 10일은 없다. 다른 전송되고 응답된 이메일 메세지의 대화 인덱스를 보면 이것은 우리가 예상한 행동이다. 위 예제에서 GUID '11111111-2222-3333-4444-555555555555'는 바뀌었다는 것을 유념하라.

 

GUID를 이용하여 대화 인덱스에서 같은 GUID를 가진 유사한 이메일을 발견했다.

 

대부분 이 이메일들은 다른 내용을 가졌다. 이 발견은 우리의 가설을 지지한다. 또한 유사한 이메일 모두 2009 3 17일이라는 생성 날짜를 가졌다. 따라서 '310'안의 0이 변조된 이메일은 2009 3 17일에 생성된 다른 이메일을 사용하여 변조되었다고 볼 수 있다.

 

인터뷰를 통해 이 발견을 들이대자 이메일 송신자는 자신이 이메일을 변조했다고 인정했다.

 

3. 변조된 예약

 

또다른 조사에서 우리가 찾고자 한 키워드 중 하나를 포함하는 대화 토픽을 담고 있는 한 예약을 발견했다. 하지만 예약은 완전히 다른 제목을 가지고 있었고 마지막 수정 날짜와 시간은 이미 예약이 며칠 뒤의 날짜로 변경되었다고 표시되어 있었다.

 

우리는 이 행동이 예약을 변경함으로써 발생되었다는 것을 확실히 할 필요가 있었다. 아웃룩을 사용하여 우리는 예약을 포함하는 PST파일을 생성했다. Libpff는 우리에게 제목과 대화 토픽에 대한 다음과 같은 정보를 제공했다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^ATest1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값에 대한 것이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:50 UTC

 

제목안의 ^A 글자는 제어 글자이고 무시될 수 있다.

 

생성과 마지막 수정 날짜와 시간이 동일하지 않다는 것을 유념하라.

 

다음에 우리는 예약을 변경하였고 제목과 대화 토픽에 대한 정보를 얻었다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^AModified1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:08:37 UTC

 

보시다시피 예약이 변경되었을 때 대화 토픽과 인덱스는 바뀌지 않는다는 것을 알 수 있다. 예제에서의 마지막 수정 날짜와 시간은 예약이 변조되었다는 중요한 표시는 아니다. 왜냐하면 우리는 예약이 생성된 후 올바르게 변경했기 때문이다.

 

4. 결론

 

Outlook/Exchange의 이메일과 예약은 대화 인덱스와 여러 체계화된 body 텍스트들과 같이 이메일 디지털 포렌식 분석에 유용할 수 있는 확실한 정보를 제공한다. 또 대화 토픽과 원래의 생성/수정 날짜와 시간도 유용할 수 있다.

Trackbacks 1 : Comments 0

Write a comment


FAT16/32 파일 복구 프로그램 개발 중...

ⓔ Forensic 2009.10.05 16:18
포렌식을 처음 공부하자고 시작할때 '임베디드 개발자를 위한 파일시스템' 책을 꼼꼼히 읽어보면서 거기에 나오는 소스코드를 분석하였을 때 문득 떠오른 것은 이 소스코드를 응용하면 충분히 파일 복구 프로그램을 만들 수 있겠다라고 생각했다.

그 생각을 한 1년후...이제서야 개발을 시작하게 되었다.

우선 FAT 파일시스템 기반 저장매체에서의 파일 복구를 목표로 잡았다.

mfc부터 공부해야해서 열혈강의 mfc 책을 샀다. (베게보다 더 두껍다..-0-)

대화상자 기반쪽만 후딱 보고 바로 프로그래밍 착수...

책에 있는 소스코드를 vs2005 mfc에 맞게 수정! 뚝딱!뚝딱!


<1단계> HDD를 덤프뜨자!(한판뜨자??)


무지 허접해보이지만 어차피 목표는 파일 복구 프로그램이기때문에 덤프 확인되는것만 보고 패쓰! (기분은 유후~ed <-- ed는 과거형..)

하지만 후에 목표 달성 후 부족한 것 하나하나씩 추가할 예정이다.


<2단계> 파티션 정보 가져오기



짐작한 분도 있겠지만...확장 파티션은 패쓰다...으갸갸갸...왜냐구? 목표는 일단 단순 파일 복구니까..(기분은 유후~ed <-- ed는 과거형..)


<3단계> 삭제된 파일 보여주기!!

FAT 기반은 루트디렉토리에서 저장된 파일 정보가 시작되기 때문에 루트디렉토리 검색하여 앞에 1바이트 값이 E5인것만 출력토록 했다. 물론 복구 불가능한 파일을 걸러주는 기능을 추가해야 한다.


FAT32는 따로 루트디렉토리 영역이 없기때문에 FAT를 추적하여 링크드리스트로 루트디렉토리 리스트를 구성하였다. 공식을 창조?하느라 머리카락 엄청 많이 뽑아댓다..ㅜㅜ(앞머리가 훤해짐~)

각 파일에 대한 정보를 보여주도록 REPORT형식의 리스트 컨트롤을 사용하였다. 일단 위 샘플은 엔트리 카운트, 파일인지 디렉토리인지, 파일/디렉토리 이름, 확장자, 크기, 숏네임, 시작 클러스터만 출력되도록 했다.

추후 타임정보도 추가해야할 것이다.

(기분은 WOW~ed <-- ed는 과거형..)


<4단계>선택한 파일 복구 하기

앞의 3단계까지는 4단계를 위한 초석을 마련한 단계였고...
으갸갸! 대망의 파일 복구!!
CString과의 싸움...형변환과의 싸움...이게 왜 가장 기억에 남지? ㅋㅋ


목록에 출력된 파일 중 하나를 선택하고 아래 경로 지정하고 복구버튼 누르면 프로그램 뒤에 창에 보이듯이 파일이 복구되었다.(기분은 Alleh~~~)

근데 이 글을 쓰기위해 재컴파일을 했는데...파일 오픈 에러가 난다.

성공한 컴파일 환경은 비스타에 인텔 기반이고, 재컴파일한 환경은 XP에 인텔기반인데...운영체제때문에 이런 현상이 일어나는 것일까?

물론 이 글을 마치고 검색을 해보겠지만...

아시는 분 답변 부탁드립니다...ㅜㅜ

< 향후 과제 >
1. 삭제된 파일의 클러스터를 검색할때 할당된 클러스터를 뛰어넘어 다음의 비할당 클러스터를 읽도록 해야하는데 그것이 구현이 안되었음. 현재는 그냥 해당 파일 크기 만큼 클러스터를 연속적으로 불러옴.
2. 논리 드라이브 단위로도 삭제된 파일을 검색할 수 있도록 해야함.
3. 디렉토리가 검색되면 디렉토리 안의 내용까지 스캔해야하는데 아직 구현 안함.
4. 추가 파티션을 발견하여 그 파티션에서도 삭제된 파일을 스캔하도록 추가해야함.
5. 포맷한 디스크에서도 파일 복구가 가능하도록 해야함. 해결방안은 dot, double dot가 포함된 섹터를 찾으면 그 섹터는 디렉토리 엔트리 테이블에 해당함으로 그 섹터에서 파일 정보를 스캔함.
6. 복구 경로를 폼나게 바꾸기
7. 복구가 불가능한 파일과 가능한 파일을 식별할 수 있도록 함수를 구현하고 그 정보를 같이 출력해주기

일단 파일복구를 목표로 달려왔기때문에 위에 언급한 내용들은 알면서도 스킵한 것들이다.

언제 저 기능들을 다 추가할지는 모르지만 시간나는대로 완성하여 공개하도록 하겠다.

이미 다른 무료 복구 툴이 많이 나와있지만...^^;
Trackbacks 0 : Comments 7
  1. 2009.10.05 19:10 Modify/Delete Reply

    비밀댓글입니다

  2. Favicon of http://boanchanggo.tistory.com/ BlogIcon 뎅꽁이 2009.10.06 00:30 Modify/Delete Reply

    형님 블로그 http://www.securityplus.or.kr/ 사이트에 rss 피드 등록되셧어요. 히히

  3. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.10.07 19:22 Modify/Delete Reply

    와우-0-; 멋지십니다. 엄청나시군요. Raw 단계부터 끝장보시는군요!

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.10.08 08:12 신고 Modify/Delete

      멋지다니 황송할 따름입니다^^; 이번기회로 FAT파일시스템 지식을 확고히 할 것 같습니다. 다음엔 NTFS로 고고싱!

  4. 우왕키굳 2010.10.28 22:34 Modify/Delete Reply

    혹시 아직도 개발 중이신가요?

Write a comment


FinalForensic 3.1 초간단 리뷰

ⓔ Forensic 2009.09.21 23:39
올해 초 출신 보안 동아리에서 어느정도의 지원자금을 받아 Encase는 샀는데 파이널포렌식은 못샀다.

이유는 5개 묶음으로밖에 팔지 않기 때문에 엄청난 값을 지불해야했기 때문이다. 흠...어떤 전략적인 판매 정책으로 이렇게 하는 것일까??

EnCase보다 파이널포렌식을 구경하기가 더 힘든 것 같다. ㅋ

흠 여튼...회사에서 이번에 3.1을 구입하게 되어 잠시 써보는 김에 간단히 리뷰하고자 한다.

아래는 구성품이다.


HASP의 동글키를 사용한다.(예전에도 그랬듯이 항상 동글키 보면 백업하고 싶다....ㅋㅋ;) 잠깐 검색해보니 최소 40마넌에 동글키에 적용된 기술 난이도에 따라 알파 플러스하면 백업해준다고 한다. 사실 소프트웨어는 동글키없이는 껍데기이기 때문에 동글키를 분실 또는 고장으로 재구매할 경우 거의 초반 구입비용이랑 비슷해서 다시 살 엄두가 안나는 사람들 대상으로 하는 것 같다.



CD를 넣으면 아래와 같은 설치화면이 뜬다. 오~ CD에서 실행하는 기능이 기본으로 내장되어 있네? (놀랄만한 건 아니다.그냥 예상외라...)





프로그램 설치 후 USB 인증 키 드라이버 설치했더니 안되서 다시 둘다 삭제하고 순서를 바꿔 설치했는데 한번에 안먹고 좀 삽질하다보니 자동으로 됐다...ㅡ,.ㅡ; 뭥미;





자주 사용하는 usb메모리를 로드해보겠다.

새로만들기하면 아래와 같이 뜬다





사건을 입력하고 확인을 누르면 드라이브 관리 창이 뜬다.
루트의 장치 이름을 선택하면 물리적 장치로 읽어들이고 서브의 볼륨을 선택하면 논리적 드라이브로 읽어들인다.




메뉴의 옵션에서 기본 스캔 방법이나 장치선택 테이블 아래의 '스캔구분 선택'에서 '미리보기', '삭제파일스캔', '유실파일스캔', '시그니처 스캔' 중에 선택하여 자동 분석을 수행하도록 할 수 있다.
맨 하단의 '스캔 종료 후 키워드 검색 및 자동 저장' 도 설정하면 키워드 검색까지 동시에 해준다.




스캔이 완료되면 왼쪽 하단 테이블에는 카테고리별로 구분하고 그안에서 파일들을 확장자별로 또 구분해 놓았다.





타임라인이다. 해당 년, 월, 일을 클릭하면 해당하는 파일들이 위 테이블에 나타난다. 근데 추적해서 들어가 파일들을 확인해보면 분류된 카테고리와 파일의 타임정보가 서로 다르다. 아직 볼줄몰라 그럴 수 있으니 두고보자..




파일들을 하나씩 클릭해가면서 미리보기를 할 수 있다. 한글워드파일을 잘 지원해주는게 왤케 멋져보일까? ㅋ 아래는 MS워드파일이지만 한글워드파일도 잘 보여준다. 근데 '문서'탭으로 보려고 했으나 비활성화되어있다. MS워드만 지원된다..ㅡㅡ;;;;
'문서'탭을 클릭하면 워드가 로드된다.(헐~)





근데 파일 하나하나를 클릭해가면서 미리보기를 하면 로드창이 잠깐 잠깐 나오는데 여러파일을 빠르게 하나씩 클릭할 경우 눈을 괴롭게 한다.



키워드 검색 창...




보고서 작성 메뉴...



기타 상단의 메뉴들...




머 전체적으로 기능들은 기본에 충실한 것 같다. 일일이 다 보여주기에는 포렌식 툴답게 엄청 많아 무리가 있고...
하지만 확장성에 대해서는 아쉽다.

웬지 첫인상은 파일 복구 프로그램 프리미엄버젼을 사용하는 것 같다는 느낌이 든다. 먼말이냐면 원래는 파일복구 프로그램인데 추가 기능이 프리미엄급처럼 많이 추가되었다는 것이다.

엔케이스에 너무 익숙해져 있어서 그런지 상대적일 수 있겠지만 좀 더 만져보고 좋은 점을 찾아볼까 한다.
Trackbacks 0 : Comments 0

Write a comment


DKOM 탐지 방법

ⓔ Forensic 2009.09.16 11:16

ROOTKIT 책에 나오는 DKOM 탐지기법에 대해서 설명하고 탐지도구를 알아보겠다.

Direct Kernel Object Manipulation; DKOM

즉, 커널 오브젝트를 직접 조작하는 방법이다.

실행중인 프로세스 목록이 링크드리스트로 보여지는데 2가지 방법이 있다. ActiveProcessLinks와 HandleTableList가 있는데 루트킷은 둘 중 하나, 또는 두 개 모두 조작하기 때문에 이에 맞는 탐지법이 필요하다. 대부분 ActiveProcessLinks를 조작하는 것 같다.

VolatilitySystems.com의 pslist는 ActiveProcessLinks 조작 경우에는 찾아내지 못하지만 Hooking에 의해 감춰진 프로세스는 찾아낸다.

python volatility pslist -f [ 파일경로]

IceSword는 ActiveProcessLinks와 HandleTableList 모두 조사하기 때문에 둘 중 하나만 조작한 경우엔 탐지가능하나 두개 모두 조작된 경우는 탐지 불가능하다.

● Memory Dump를 이용하여 EPROCESS를 모두 추출하는 방법이 있다.
Chain of Custody를 위해 USB 이동저장매체에 mdd를 저장하여 분석시스템의 메모리덤프를 수행한다.
메모리 덤프 파일과 VolatilitySystems.com의 psscan을 이용하여 DKOM 탐지 및 종료한 프로레스까지 탐지한다.

python volatility psscan -f [ 파일경로 ]

● 기타 탐지 도구

Sophos Anti-Rootkit
F-secure BlackLight
Klister
PTfinder

'ⓔ Forensic' 카테고리의 다른 글

FAT16/32 파일 복구 프로그램 개발 중...  (7) 2009.10.05
FinalForensic 3.1 초간단 리뷰  (0) 2009.09.21
DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
Trackbacks 0 : Comments 0

Write a comment


IIS 로그 포렌식

ⓔ Forensic 2009.07.23 00:25

주어진 로그파일들을 쉽게 분석하는 방법이 없을까란 생각에 검색창에 'iis 포렌식'을 입력하는 순간!!

주루루루루룩 나온다...ㅡ,.ㅡ;


우선 log parser라는 툴밖에 안보인다.

- Log Parser 2.2 다운로드


visual log parser를 발견하였다.

- visual log parser 다운로드


로그 포렌식에 관한 포스팅을 유명 블로거분들이 이미 예전에 올리셨다. 완소 자료에 감사드린다.

- coderant님의 Logparser를 이용한 IIS 로그 Forensic 방법  
- 용기백배님의 LogParser as Forensic Tool 1 : LogParser의 소개와 개념
- 헐랭이님의 대량 SQL injection 악성코드 로그 추출하기


검색해보니 찾기 어려워 올리는 질문인데...

IIS의 설정 파일이 따로 존재하는가? 이다.

(있을듯 한데...없으면 실망이 클듯함^^;)


아래 자료는 참조 및 붙여넣기(ctrl+v)하기 쉽게 coderant님 포스팅을 덮썩 퍼왔다. 일일이 다 해보고 안되는 것들 몇가지 수정하였다.

----------------------------------------------------------------------------------------

1) 가장 최근에 생성된 시간을 기준으로 ASP 스크립트를 변조한 Trojan Files 여부를 진단
 
C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 


2). 가장 최근에 수정된 Files 로그 찾기

C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1   
  
3). 해커가 Trojan Files을 삭제한 경우에 HTTP 200 서버코드 흔적 로그를 찾는다.
 
C:\logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1   
  
* nc.exe, tini.exe, root.exe, cmd.exe, upload.asp, aspexec.asp, cmd.asp 같은 파일 이름이 있으면 의심

4) Script Abuse 분석(가장 많은 Request 요청을 받은 Executable 파일의 확장자 확인)

C:\logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attributes NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 

* 특히, .ASP, .DLL 파일 요청을 유심히 봐야함
* C:\inetpub\scripts -> scripts 또는 adminscripts

5) HTTP 서버 500 에러코드 검사

C:\logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
 

6) 가장 많은 Request Hit 수(hit수가 높은 ASP, DLL 파일 확인)

C:\logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total from ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 

7) 시간당 에러수가 가장 많이 발생한 날짜 확인
  
C:\logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Error FROM ex*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Error>25 ORDER BY Error DESC" -rtp:-1

* 25개 이상의 에러코드(404코드)를 발생한 날짜와 시간 결과를 출력

8) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
  
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

9) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
 
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

10)  모든 ASP 에러 기록 확인
  
C:\logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 

* 특히, ODBC와 ADO 에러는 SQL Injection 가능성이 있으므로 주의깊게 살펴봐야 함

11) 스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인
  
C:\logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 

12) Win32 Status Code 분석을 통한 Attack 확인
  
C:\logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
 

13) HTTP Method 통계 분석
  
C:\logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1

-----------------------------------------------------------------------------------------

'ⓔ Forensic' 카테고리의 다른 글

DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
Trackbacks 0 : Comments 0

Write a comment


iDEFENSE LABS - 멀웨어 분석 도구 사이트

『Link』 관련사이트 2009.07.20 18:01



iDEFENSE LABS : http://labs.idefense.com/software/


- 행동기반 또는 동적(run-time) 분석
- 정적 분석
- 퍼징
- 멀코드 분석
- 기타 도구들

각 카테고리별로 도구를 제공합니다.

유용한 도구들이 많네요.

'『Link』 관련사이트' 카테고리의 다른 글

iDEFENSE LABS - 멀웨어 분석 도구 사이트  (0) 2009.07.20
암호복구 툴 무료 다운로드 사이트  (0) 2009.03.26
nchovy  (1) 2008.10.02
xss 당한 사이트 정보 보기  (0) 2008.09.28
파일 시스템  (0) 2008.05.15
packer 사이트  (0) 2008.01.04
Trackbacks 0 : Comments 0

Write a comment


해쉬 계산기

ⓟ Software 2009.07.18 15:22



다운로드 : http://www.softsia.com/HashCalc-download-rmf0.htm
Trackbacks 0 : Comments 0

Write a comment


나쁜 GS...!!?!?!?!!

┃ 끄적끄적 2009.07.13 22:30
DDoS 사건으로 피곤한데다 날씨까지 후덥지근한 저녁, 힘들게 퇴근해서 집에 왔는데 책상에 덩그러니 놓여있는 UPS 화물(?)하나...

머지머지??? 보낸사람은 보지 않고 누군지 추측하기 시작했다...누굴까...호...호혹시?? 그때서야 보낸 사람을 보니 Guidancesoftware였다.

언능 뜯어보니 코팅된 카드 한장과 이상한 종이 쪼가리 2장이 들어 있었고, 제일 먼저 영어가 많은 것부터 읽기 시작했다. 영어 울렁증이 있어 첨부터 보지 않고 매직아이를 하기 시작했다.

눈에 젤 먼저 띄인 건 not be granted!!! 이...이런 떨어진건가...젠장...그렇게 사람 기다리게 해놓고 이제야 떨어졌다는 사실을 소포로 알리는 건 대체 뭐야! 라며 좌절감에 휩싸여 있는 동안, 아니야 그럴리 없어 라며 다시 한번 두 눈 부릅뜨고 다른 종이 쪼가리를 보니 certified라는게 보이는 것이다. 음....

그렇구나...합격한 거였고, not be granted는 교육을 받지 않이 하면 자격증이 지속되지 않는다는 부분이었다. (이제부터 열심히 투자하라는 소리로 들린다. ㅋㅋ)

오늘 아침도 어김없이 메일을 열어보며 가이던스소프트웨어가 보낸 메일이 있나 두 눈을 비비며 확인하였지만 없었다.
거의 2달 반동안 메일을 하루에도 수십번 열어보며 기다리고 기다리던 합격소식을 이따위로 전하다니...ㅡ,.ㅡ;

중간에 메일도 보내보았다. 조용히 순서 기다리라는 1줄 짜리 답장만 날라왔었다. ㅋㅋ

여튼 합격이다. 유후!!!

혼자 시험 준비하고 아무에게도 기대려하지 않으려 했던 보람이 있다.(사실 기대고 싶었지만 기댈사람이 없었음..XD)

영작에 도움을 주신 분께 정말 감사드리고, 염치없이 회사 빠지며 자격증 준비했던 것인데 회사분들께 탐앤XX 커피 하나씩 돌려야겠다.
Trackbacks 0 : Comments 8
  1. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.07.13 23:35 Modify/Delete Reply

    ^^와 축하드려요~ 저도 엊그제 받았는대 아무래도 일괄배송한듯? 비슷한 시기에 보냈나봐요;
    전 근데 제가 안보내도 중간에 합격했으니 닥.기다리란 메일 왔었는대...국내 멜이시면 중간에 차단된거
    아닐까요?^^ 저도 배송온거 사진찍어두고 아직 포스팅을 못했다는..큭;ㅋ 다시한번 축하드려요!

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.07.14 00:12 신고 Modify/Delete

      용기님 합격 멜 받으셨다는 글보고 그때 저 탈락한 줄 알고 얼마나 맘고생했는지 몰라요 ㅋㅋ 암튼 추카해주셔서 감사합니다~^^

  2. Favicon of http://boanchanggo.tistory.com/ BlogIcon 후미후 2009.07.14 08:48 Modify/Delete Reply

    형님 축하드립니다.~~~ 나중에 사진도 같이 올려 주세요 구경좀 하게요 ㅋ

  3. Favicon of http://forensicfactofy.tistory.com BlogIcon joseph1020 2009.07.15 14:01 Modify/Delete Reply

    축하드립니다. ^^

  4. Favicon of http://justjhs.tistory.com BlogIcon justjhs 2009.07.22 09:51 신고 Modify/Delete Reply

    저번에 본다던 그 시험인건가??

    암튼 ㅊㅋㅊㅋ ㅋㅋㅋㅋ

Write a comment


Unix 장비별 MAC Address 확인 방법

┃ Linux 2009.06.16 10:16
1. Linux : ifconfig -a (/sbin/ifconfig -a)
 
-----------------------------
eth0   Link encap:Ethernet HWaddr 00:50:xx:xx:xx:xx
     inet addr:192.168.1.100 Bcast:192.168.123.255 Mask:255.255.255.0
... 생략 ...
#
-----------------------------
 
2. Solaris : ifconfig -a (root로 실행해야 합니다.)
 
-----------------------------
# ifconfig -a
hme0: flags=863 mtu 1500
    inet 192.168.1.100 netmask ffffff00 broadcast 192.168.1.255
    ether 8:0:xx:xx:xx:xx
#
-----------------------------
 
3. AIX : lscfg -vp 또는 lscfg -vpl
 
-----------------------------
# lscfg -vpl ent0
 
 DEVICE      LOCATION     DESCRIPTION
 
 ent0       21-08       IBM 10/100 Mbps 이더넷 PCI 어댑터
                   (23100020)
 
    Network Address.............0006xxxxxxxx
    Displayable Message.........PCI Ethernet Adapter (23100020)
    Device Specific.(YL)........P1/E1
... 생략 ...
#
-----------------------------
 
4. HP-UX : lanscan
 
-----------------------------
# /etc/lanscan
Hardware Station      Crd Hardware Net-Interface NM Mac  HP DLPI Mjr
Path   Address      In# State  NameUnit State ID Type  Support Num
2/0/2  0x0800xxxxxxxx  0  UP   lan0   UP  4  ETHER  Yes  52
#
-----------------------------
 
5. Digtal UNIX : netstat -in 또는 uerf
 
-----------------------------
# netstat -in
Name Mtu  Network   Address        Ipkts Ierrs  Opkts Oerrs Coll
... 생략 ...
fta0 4352    00:00:xx:xx:xx:xx 13775882   0 13642091   0 0
#
-----------------------------
 
6. SGI : nvram |grep eaddr 또는 netstat -ia
 
-----------------------------
# nvram |grep eaddr
eaddr=08:00:xx:xx:xx:xx
#
-----------------------------


출처 : http://charmpa.egloos.com/1599445

'┃ Linux' 카테고리의 다른 글

리눅스 서버 점검 도구 - Linux System Check Project ; LSCP  (2) 2009.11.20
우분투 패키지 관리 apt 명령  (0) 2009.07.24
Unix 장비별 MAC Address 확인 방법  (0) 2009.06.16
find 명령 활용  (2) 2009.06.12
RPM 명령  (0) 2008.10.12
[CentOS] J2SDK + TOMCAT 5 + JK2  (0) 2008.09.07
Trackbacks 0 : Comments 0

Write a comment


2009 Hacking Defence & Conference 개최

┏ Interesting News 2009.04.26 18:08

poster.jpg

한국정보보호진흥원과 대학정보보호동아리연합회(KUCIS)가 주관하는 컨퍼런스가 13~14일에 개최됩니다.

http://www.hdcon.or.kr/


동시에 해킹방어대회도 하고 각종 이벤트도 합니다.

캐리커쳐도 그려준답니다. 좋은데요? ㅋㅋ

매년 개최했던 해킹방어대회가 올해도 어김없이 개최되며, 예선을 통과한 팀들에 한해 본선대회를 여기 컨퍼런스에서 보여줌으로써 보다 가깝게 다가갈 수 있도록 한 점이 흥미롭습니다.

전국 대학 정보보호동아리들의 연구 결과들이 발표되는 자리라 동아리들의 수준을 가늠할 수 있을 듯합니다.

제 생각엔 대학생들이 이정도면 상당한 수준이라고 생각합니다만...

학교 수업들으랴~ 보안공부하랴~ㅎㅎ 열정이 아니면 이정도하기 힘들죠.

성공적인 개최와 피드백을 얻기 위해 이글을 읽는 분들은 모두 참석하셔서 소중한 의견을 나눠봤으면 좋겠네요^^

'┏ Interesting News' 카테고리의 다른 글

중국 5.19 인터넷 접속 사고  (0) 2009.06.08
신형 PSP go  (0) 2009.05.31
2009 Hacking Defence & Conference 개최  (0) 2009.04.26
DRM 퇴출 위기  (0) 2009.04.02
울트라 슬림 카드 마우스  (0) 2008.11.07
창밖 현실과 게임의 조합  (0) 2008.10.31
Trackbacks 0 : Comments 0

Write a comment


NTFS on-disk structure

┃ System 2008.07.03 15:25

ntfs의 구조에 대한 자세한 내용을 다루고 있네요

http://book.itzero.com/read/microsoft/0507/microsoft.press.microsoft.windows.internals.fourth.edition.dec.2004.internal.fixed.ebook-ddu_html/0735619174/ch12lev1sec6.html

'┃ System' 카테고리의 다른 글

윈도우 글꼴 가독성 높이기(Clear type)  (0) 2009.03.18
OpenAFS  (0) 2008.10.02
NTFS on-disk structure  (0) 2008.07.03
format 정의  (0) 2008.06.03
일반 포맷과 빠른 포맷의 차이점  (4) 2008.05.29
Windows xp 디스크 포맷  (0) 2008.05.29
Trackbacks 0 : Comments 0

Write a comment