Lucete

와... 디지털 포렌식전문가 2급 시험치고 멘붕이 오고난 후 EnCE 자격증을 볼려고 신청을 했는데 주위 사람 몇명에게 물어보니 제x코라는 학원?기업? 을 통해 많이 한다는 소리를 들었다. 그래서 처음엔 음 ... 통해서 볼까? 라는 생각을 했는데 금액차이가 나서 그냥 혼자 도저언!!!! 일단 EnCE 홈페이지 들어가서 양식을 다운받고 보는데 디포관련 업무나 수업들었는지 이러한 내용을 쓰는 곳이 있다. 그래서 하나하나 적어내려가는데 난 사실 3번 빠꾸먹었다... ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 4번째 됫는데 1번째는 교육받은것을 적고 수료증을 스캔하여 첨부파일과 함께 신청하면 메일로 이러한 내용의 메일이 온다. 그냥 해석해보면 "신청해줘서고맙고 뭐 신청이 접수됬다. 순서대로 검토하고 연락주겠다~~~" 이런내용이다..

흠... 시험치기 전에 감독하시는 분이 한말이 기억난다... "음 ~ 이번시험부터 좀바껴서 시험처음보면 멘붕올거예요~" 난 이말이 뭔말인가 했는데 문제를 받았는데 6문제였다. 뭐... 풀다보니 3번부터 이제 뭔가 좀 흠... 압축의 비번을 풀어야하는 거였는데 풀고 풀고 풀고 어찌 풀었는데 또 풀어야하네... 흠.... 약간 CTF느낌을 받은 건 나만 그런건가?... flag를 찾아라 하는 기분이였다. 물론 공부가 부족했을 수 있지만 ... 그리고 키보드 답답... ㅋㅋㅋㅋ 백스페이스를 누르고 있어도 방향키를 누르고있어도 한번밖에 이동안한다는... 화장실도 참아가면서 4시간을 있었는데 문제뜬금! ㅋㅋ 할튼 뭔가 묘한 기분이 들었다만 .... 결과는 8월 1일에 나온다고 한다. 솔찍히 붙으면 좋겠지만 뭐 나..

겁나 막연하다... ㄷㄷ;;; 무엇을 공부해야 할 지도 모르겠고 무엇을 봐야하는지도 모르겠다............................ 포렌식 결과에 대해 조작되었다는 주장을 할 경우를 대비하여 무결성을 위해 어떻게 해야하는가?(내가 맞는건지 아닌건지 하나도 모르겠..느낌대로 써야지) 1. 현장에서 데이터를 추출하는 과정 - 무결성을 훼손 하지 않기 위해 가장 먼저 쓰기방지를 해야한다. 만약 쓰기방지를 하지않는다면 무결성이 훼손될 수 있기때문이다. 쓰기방지를 하고 난 후 검증된 디지털 포렌식 도구를 이용하여 이미징을 하고 해시값을 계산한다. 이미징을 하여 사본을 만들고, 이러한 과정을 필요 최소한도에서 촬영 및 기록을 한다. 2. 매체를 압수할 경우 - 봉인봉투나 봉인 스티커를 이용하여 무결성을 ..

하... 내일이 시험이라니 이건 말도 안됩니다. 말이됩니까?... 내가 디지털 포렌식 전문가로써, 압수수색과 분석에 필요한 행동 요령을 단계별로 서술해라. 1. 압수,수색 사전 준비 - 수사의 목적이 달성될 수 있도록 영장을 작성하고, 디지털 증거의 압수수색 검증이 가능한 분석관을 대동하여 압수수색을 진행한다. - 영장 작성 시, 범죄 유형별 압수대상을 특정하고 피압수자의 IT지식이나 규모에 따라 팀을 편성하여야 한다. - 팀 편성 후, 회의를 통해 팀 역할을 분배하여야 하며, 집행지 상황에 대한 정보 공유를 충분히 하고 사전 준비를 철저히 해야한다. - 현장에서 사용할 하드웨어/소프트웨어 등 장비에 대한 사전 테스트를 진행하고 현장에서 일어날 가능성이 있는 문제에 대해 미리 대처할수 있도록 준비한다. ..

usb메모리의 무결성이 훼손되지 않도록 증거 사본을 생성하기 위해 해야할 행위들을 시간순으로 작성 - 쓰기방지가 되어 있지 않은 장비 또는 장치에 USB를 연결하게 되며 전자적으로 무결성을 훼손될 우려가 있다. 이러한 문결성을 훼손하지 않기 위해 이미징 수행전에 반듯이 쓰기방지를 해야한다. 쓰기방지를 함에 있어 출동한 수사관이나 현장에 있는 장비에 따라 하드웨어적 쓰기방지 or 소프트웨어적 쓰기방지로 나누어지게 되는데 하드웨어적 쓰기방지 같은경우 장비를 통해 쓰기방지가 가능하기 때문에 장비에 하드디스크를 꽂아 사용하면 된다. 소프트웨어적 쓰기방지 같은 경우 레지스트리(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\Wri..

먼저 디지털 포렌식 전문가 2급을 시험치게 되었다... 필기를 합격하고 나니 실기도 쳐야할 것같아서 홈페이지를 들어 가보았는데 ... 참고로 홈페이지는 'http://exam.forensickorea.org'

오늘은 NetBIOS(Network Basic Input/Output System)에 대해 알아보고 정보를 수집하는 것을 볼텐데... NetBIOS가 뭔지 부터 알아보자.! 위에 적힌 영어 그대로 네트워크 베이직 인풋 아웃풋 시스템이다.즉, 별개의 컴퓨터상에 있는 응용 프로그램들이LAN에서 서로 통신 할 수 있도록 해주는 프로토콜이다. 또한 IBM 에서 개발됐으며 전달할 데이터와 수신지 IP등 다른 것들과 함께 명기하는, 네트워크 제어블로의 형식으로 제공된다. NetBIOS는 Ethernet, Token Ring, Windows 네트워크 등에 주로 사용되며 그 자체만으로는 라우팅 기능을 지원하지 않아 광역 통신망 상에서 통신하는 응용 프로그램들은 반드시 다른 전송 프로토콜을 추가하여 사용해야함 세션과 데..

언른 마무으리!!! 지어야 할 것같습니다!!! :) 2탄에서 생각보다 많은 것들을 못했습니다. 이유는 SysinternalsSuite 도움이 필요해서 말이죠!!그래서 오늘은 SysinternalsSuite 도움을 좀 받아봅시다.! NetBIOS 는 다음 시간엥 케케케케 ummmmmmmmmmm..................먼저 뭐부터 봐야할까요? 먼저 핸들 정보부터 알아봅시다!!핸들이란 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 값이다.그럼 핸들은 하나만 있을까? 아니다. 한프로세스 당 핸들은 여러개가 있는데 실제로 가리키고 있는 오브젝트는 레지스트리에 기본적으로 기록되어있다.프로세스 생성시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값, 파일,포트 등을 포함하고 있다.h..