CTFlearn - Forensics101 문제 링크를 타고 들어가면 텍스트 있는 미니언 jpg 파일이 나온다. 처음엔 스테가노그래피인줄 알고, Stegoonline에 넣어봤는데, 별다른 특이한 점은 없었다. 간단한 문제이니 HxD로도 뭔가 찾아볼 수 있지 않을까 해서 HxD로 열고, Ctrl+F로 flag를 검색해서 찾는데 성공했다. 디지털 포렌식 2023.03.25
윈도우 포렌식 / 레지스트리 포렌식&보안 Windows Artifacts - Windows가 갖고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 - Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터. 보관 증거 : 사람이 기록하여 작성한 데이터 Windows Artifacts - 레지스트리 - $MFT, $Logfile, $UsnJrnl - LNK - JumpList - Recycle Bin - Prefetch & Cache(s) - Timeline - VSS - 웹브라우저 아티팩트 - Eventlogs 1. 사용자의 행위에 따라 어디에 어떤 정보가 저장될까? 2. 컴퓨터는 대체 어떻게 동작하는 걸까? -> 사용자는 컴퓨터로 무슨 일을 했을까? Window.. 디지털 포렌식 2022.12.23
디지털 증거 획득, 증거 수집 방안 증거 획득 방식 저장매체 복사 원본 읽기 -> 사본 쓰기 장점 - 비교적 손쉬운 방법으로 수집 가능 - 필요한 데이터만 빠르게 수집 가능 -> 신속한 분석 - 활성 시스템(시스템 전원을 내릴 수 없는 경우)에서 유용하게 활용 단점 - 활성 시스템의 무결성 훼손 -> 무결성 훼손을 최소화하는 방안 필요(fcopy) 저장매체 복제 원본의 모든 물리적 섹터 -> 사본 저장매체 비트스트림 복제 장점 - 무결성 유지 - 원본의 모든 정보 획득 -> 삭제된 파일 복구 가능 단점 - 원본보다 크거나 동일한 사본 저장매체가 필요 -> 사본 저장매체의 낭비 - 사본 저장매체(기기) 특성에 종속 (저장매체 오류 및 물리적 배드섹터) - 복제 전 사본 저장매체의 완전삭제(wiping)가 필요 저장매체 이미징 원본의 모든 물.. 디지털 포렌식 2022.11.29
메모리 포렌식 메모리 포렌식 목적 - 프로세스의 행위 탐지 - 네트워크 연결 정보 - 사용자 행위 - 복호화, 언패킹, 디코딩된 데이터 - 패스워드와 암호키 획득 메모리 포렌식 대상 - 물리메모리 - 페이지 파일 - 하이버네이션 파일 물리 주소 확장(PAE, Physical Address Extension) - 물리적 주소 지정 비트를 32 비트 -> 36비트 확장(4GB -> 64GB) - 접근 가능한 물리 주소 공간 증가 bcdedit (BCD, Boot Configuration Data) 윈도우 2003 이전에서 PAE 설정 - %SystemDrive%\boot.ini 파일에 /PAE 스위치 추가 - 확장된 주소 공간 접근을 위해 AEW(Address Windowing Extensions) API 사용 - PAE.. 디지털 포렌식 2022.11.18
부팅과 데이터 저장/전송 & 부팅 절차 부팅 절차 1. 전원 버튼 누름 - 버튼 누르면 전원 공급기는 외부 전압을 낮은 전압으로 변환해서 공급함. - 메인보드의 클록 발생기는 전압이 전달되면 주기적으로 클록 발생 - 클록의 주기에 따라 컴퓨터 시스템 동작 2. ROM BIOS 로드 - 클록은 CPU로 전달 - CPU는 메인보드의 ROM BIOS를 메모리에 로드 후, ROM BIOS 실행함. 3. POST 작업 전 기본 테스트 - ROM BIOS의 부트 프로그램 실행 - POST 작업 수행을 위한 기본 테스트 - 테스트 결과 = ROM BIOS에 저장된 값. -> POST 작업 수행 4. POST 단계 (Cont'd) 1단계 - 시스템 버스에 특정 시그널을 보내 이상 유무 확인 2단계 - RTC(Real-Time Clock)/NVRAM 테스트 .. 디지털 포렌식 2022.11.08
디지털 포렌식 기초 1주차 디지털 포렌식이란? 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야. 필요성 해킹 등 컴퓨터 관련 범죄 뿐만 아니라 잉ㄹ반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐. 범죄 수사 이외의 분야에서도 활용도가 증가함. - 민사사건 - 일반 기업에서의 수요 급증 ( 내부 정보 유출, 회계 감사 등) 유형 1. 침해 사고 대응 - 실시간 - 사태 파악 및 수습 - 엄격한 입증 필요 x 전반적인 포렌식이 포함되나, 증거 추출처럼 엄격하지는 않음. 2. 증거 추출 - 사후 조사 - 범죄 증거 수집 - 엄격한 입증 필요 o 처음 수집 ~ 법정 그 어떤 데이터 위변조도 없었다. 대상 - 디스크 포렌식 -> 컴퓨터 디스크 ( 윈도우, 리.. 디지털 포렌식 2022.11.01
