For3nsic54

• 

  lsof 명령어 프로세스 정보를 확인하기 위한 명령어는 lsof라는 명령어가 있다. lsof라는 명령어는 LiSt Open Files의 약자로 이름 그대로 수행하는 프로그 램이다. 좀 더 구체적으로, 현재 System에서 돌아가는 모든 Process에 의해서 Open된 파일들에 대한 정보를 보여준다.사용법은1. 어떤 특정한 파일을 사용하고 있는 프로세스들에 대한 정보를 알고 싶을 때,lsof 2. 어떤 파일 시스템 내에, 그렇게 큰 크기의 파일들을 찾을 수 없는데도 불구하고, Available Space가 0을 향해서 치닫고 있을 수도 있다. lsof 3. 긴급히 어떤 파일 시스템을 unmount해야 할 때, lsof는 파일 시스템 내에 있는 파일들에 대해서 억세스하고 있는 프로세스들을 다 찾아줄 수 있다.lsof 4... For3nsic/Forensic 2015. 11. 20.

• 

  volatility 사용법 3 printkey 이 명령어는 레지스트리 키값을 보여준다. netscan이 명령어는 활성화된 네트워크 정보를 알려준다.(windows 7에서만 사용가능) connections명령어를 이용하여 네트워크를 검사한다.여기서 더 자세히 알기위해 밑의 명령어를 사용한다. connscan 이 명령어는 위의 명령어와 같지만 이미 끊어진 네트워크도 나타내 준다. ] yarascan이명령어는 yara를 이용하여 유니코드 등을 검색하여 준다. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  volatility 사용법 2 kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다. pslist이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID.. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  Volatility 사용법 Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저 -h 옵션을 줌으로 명령어 들을 볼수 있다. 또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindowns Mac \ Windows 와 Mac이랑 명령어가 비슷한 거 같다. 이하 Mac으로만 하겠슴... 여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다. imageinfo명령어는 다른 플러그인을 사용할 때 --profile=PROFILE----을 파라미터로 해야하는 제안된 프로파일을 알려주는 명령어이다.명령어를 사용하기위해 파일을 넣어야하는데... 명령어 사용방법은 vol.py -f For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  Memory Forensic Volatility 설치 + 실행 요즘 MacBook을 사용하시는 하시는 분들이 많아서 일단 설치는 맥북위주로 하고 또한 사용법은 맥과 윈도우가 비슷 하므로 설명을 진행 하겠습니다.맥 같은 경우에는 윈도우와 다르게 터미널이라는 기능을 가지고 있어요!!! 터미널 리눅스에서 많이 사용하는건데 ... 이를 보면 맥이 유닉스나 리눅스 기반이라는 것을 알수 있을 껍니다.먼저 volatility를 설치하기위 해터미널을 열고 brew install volatility를 쳐주세요그럼 이러하게 다운 받는 것을 볼 수 있으실 껍니다.이렇게 다운 로드를 다받으시면 윈도우 사용자 분들은 CMD창에서 실행을 할껍니다. 어떻게 실행하냐 WINDOWS 이렇게 CMD창에서 실행시킵니다. 앞에 경로를 찾아가려니 힘들죠? 설치를 하고나시면 폴더있는데 그폴더에서 쉬프트(.. For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  FTK Imager 알아보기 2 FTK Imager에서 메모리 캡쳐 하기 FTK Imager기능 중에서 메모리 캡쳐기능이있다.먼저 메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다. 경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다. 이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다. 윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다. 메뉴바에서 표시된 것을 클릭하면 이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.선택항목은 암호를 복구할 것인지 전체 레.. For3nsic/Forensic 2015. 11. 17.

• 

  FTK Imager알아보기 1 FTK를 이용하여 증거물 추가와 미리보기 기능을 알아보자메뉴바에서 File -> Add Evidence Item을 클릭하면 이러한 창이 나온다.그후 다음을 클릭하면 이러한 창이나오는 이창은 하드 디스크를 지정하는 창이다. USB같은 것이 연결 되어있을 경우 지정 가능하다. FINISH를 누르면 나오는 창이다. 그리고 옆에 보면 Evidence Tree 창에 증거물이 출력된다. 다음은 포렌식을 하기위한 이미지 생성을 알아보자! 이는 메뉴바에 보면 디스크 모양이 있는 것을 확인할수 있다. 디스크 모양을 클릭하여 이미지를 만들수있다. 클릭을 하면 이러한 창이 뜨는 것을 확인 할수있는데 Raw, SMART, E01, AFF가 이미지 타입으로 FTK에서 지원한다. 타입을 선택하고 다음을 누르게 되면 이러한 창을 .. For3nsic/Forensic 2015. 11. 17.

• 데이터 저장 매체 포렌식에서 중요한 증거를 수집할려면 증거가 어디에 저장되어 있고 저장될 수 있는 곳을 생각해야 한다. 데이터 저장 매체를 보면 하드디스크를 제외한 많은 곳에 데이터를 저장할수 있다.- 자기 미디어 - 플로피 디스크 - 하드 드라이브 - USB/PC카드 - ZIP이나 테이프 드라이브- 광학 미디어 - CD - DVD- 대체 미디어 - MP3 플레이어 - 태블릿 - 스마트 폰 - 비디오 게임, TV 등 For3nsic/Forensic 2015. 11. 17.

• 

  Chrome Forensic 이번엔 포렌식 중에 웹을 이용한 포렌식을 볼껀데...툴이름은 Chromeforensic이라는 툴입니다.실행을 시키면 이러한 GUI환경이 나오는 걸 볼수있습니다. 웹캐시 등을 받아올 폴더를 지정해야하는데 기본적으로 크롬 같은경우에는 아래의 절대경로를 이용합니다. C:\Users\사용자\AppData\Local\Google\Chrome\User Data\Default여기서 확인을 하면 이렇게 이미지도 띄어주는 것을 볼수있다. 이뿐만아니라 키워드 등을 검색하여 보기 편하게 쉽게 나온다.포렌식 중에서 웹 또한 매우 중요하다.이러한 툴을 알고 있으면 좋을 듯하다. For3nsic/Forensic 2015. 11. 16.

• 메모리 분석 전 알아야 할 사항들 메모리 덤프 파일이란?메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다1 - 하드웨어를 이용하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.- PCI장치- FireWire2 - 소프트웨어 도구를 이용한다.즉석에서 메모리 덤프 파일을 만들 수 있다.- DD - UNIX 도구- KntDD- MDD - open source- WIN32(64)DD - 윈도우- Fastdd3 - OS 크래시 덤프문제를 찾기위해 생성되는 덤프파일종류- 작은 메모리 덤프- 커널 메모리 덤프- 전체 메모리 덤프4 - 하이버네이션 파일이용 가상 메모리물리적인 실체를 가지고 있지 않은 메모리를 말하.. For3nsic/The Art of Memory Forensic 2015. 11. 14.

• 포렌식 기초 포렌식 증거처리 절차전에 앞에서 말한 바가 있다. 만약 포렌식을 한다고 말하고 다니는데 증거처리 절차 모르거나 한다면... 부끄럽다그래서 한번 더 강조한다. 왜냐? 중요하니깐.사전 준비 단계 -> 증거 수집 단계 -> 증거 이송 단계 -> 증거 분석 단계 -> 정밀 검토 단계 -> 결과 문서화 단계 이러한 순으로 된다!!! 사전 준비 단계증거 수집 단계증거 이송 단계*증거 분석 단계증거물 복제할 때에는 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 해야 한다.또한 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야한다. *무결성* 매우중요한거다. 증거에 번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.증거물복제는 원본의 장치와 동일한 것에서 이루어지는 것이 .. For3nsic/Forensic 2015. 11. 11.

• 디지털 포렌식이란? 디지털 포렌식이란 무엇일까? 포렌식 -> 법의학컴퓨터 미디어에 전자적으로 저장된 데이터를 취득,보존,복구,제출하는 것과 관련된 방법론이다.또한 경찰과 검찰이 쓰는 수사 기법중 하나이다.즉, 디지털 기기에서 많은 정보를 찾거나 복구하는 일이다. 다만 중요한점은 포렌식이 법의학처럼 법정에서 사용될수 있다는 것이다. 포렌식의 종류에는 여러가지가 존재한다.컴퓨터 포렌식, 모바일 포렌식, 임베디드 포렌식, 네트워크 포렌식 등등 포렌식 적용 분야1 - 사이버 범죄 및 지능 범죄2 - 일반 및 강력 범죄3 - 인터넷 침해사고 조사4 - 사용자의 부정이나 범죄 행위에 대한 조사 For3nsic/Forensic 2015. 11. 10.

• 휘발성 순서 And 포렌식 수집할 증거의 우선 순위를 정하는 것이 좋다.그러나 휘발성이 강한 것부터 수집하는 것이 좋을 듯하다. 휘발성 순서1 - CPU, 캐시 및 레지스터 데이터2 - 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계3 - 메모리4 - 임시 파일 시스템 / 스웝 공간5 - 하드 디스크에 있는 데이터6 - 원격에 있는 로그 데이터7 - 아카이브 매체에 있는 데이터 RAM에 있는 증거휘발성 메모리(RAM)에는 현재 실행 중인 프로세스, 실행된 콘솔 명령어, 암호화되지 않은 비밀번호, 암호화되지 않은 데이터, 메신저 내용, IP주소, 악성코드 등 중요한 증거가 저장되어 있을수 있다. For3nsic/The Art of Memory Forensic 2015. 11. 10.

• 

  파티셔닝과 디스크레이아웃 등 파티셔닝과 디스크 레이아웃 오늘날 가장 많이 사용하는 두 가지 주요 파티셔닝 방식은 MBR(Master Boot Record) 방식과 GUID Partition Table(GPT)이다. MBR 파티셔닝 기법은 기본적으로 오직 네 개의 프라이머리 파티션과 최대 2테라바이트 크기의 디스크만 지원한다. GPT 형식은 8 제타바이트 크기의 디스크까지 지원하며 128개의 프라이머리 파티션을 만들수 있다. 파티션 식별 및 복구삭제되거나 사라진 파티션을 식별할 때는 앞에서 언급한 sigfind 명령을 사용할 수 있다. 이 도구는 파티션 테이블이나 파일 시스템 헤더의 숨길 수 없는 흔적을 찾아주는 사전 정의된 여러 데이터 구조 템플레이트를 가지고 있다. RAIDRedundant Array of Inexpensive D.. For3nsic/Forensic 2015. 11. 10.

• 포렌식을 더깊게... 포렌식 분석의 목적 - 진실을 찾고 그것을 통해 사건의 진실을 재현하는 것 이미지 다루기 - ImDisk -> NTFS 볼륨 이미지 마운팅파일 시스템 다루기 - Ext2FsdMac OS - HFS Explorer -> 일부 CD/DVD와 DMG 컨테이너 포함 HFS와 HFS+ 파일 시스템을 읽을 수 있는 프로그램이다. 디스크와 파일 시스템 분석포렌식 분석은 매체에 있는 파일을 다루는 것이다. 식별은 볼륨에서 어느 활성 파일과 삭제된 파일을 수집할 수 있는지 결정하는 것이고, 추출은 관련 파일의 데이터와 파일의 메타데이터를 수집하는 것이며, 분석은 우리가 알고 있는 정보를 데이터 셋에 적용하고 궁극적으로는 의미 있는 결과를 도출하는 과정이다. 파일 시스템 추상화 모델 - 디스크 : 물리적 저장장치로 간주 .. For3nsic/Forensic 2015. 11. 10.

• 

  FTK Imager 이용한 삭제된 파일 살리기 가끔 컴퓨터를 하다보면 파일을 모르고 삭제할 수 있다.이를 살리기 위해FTK Imager를 사용하여 살려보자. FTK Imager 실행 하면 밑에의 창이 뜬다. 여기서 FILE -> Add Evidence Item...을 누르면 이러한 창이뜨면 다음 이 창은 하드디스크를 선택하는 창이다. 저자는 가상으로 하는 거라 68GB로 잡혀있다. 여러가지가 잡힐수도 있다. Finish를 하면 이러한 창이 뜨는데 옆에 플러스를 누르면 이렇게 파티션 1, 2 가 나오는 것을 확인하고 처음에는 350MB를 봤을 때 부팅을 도와주는 시스템으로 보인다. 파티션 2를 누르면 Root가 나오는 데 Root 매우 중요하다!!! Root -> Recycle.Bin에 들어가면 삭제한 파일들이 나온다. 이렇게 간단하게 찾아 낼수 있다.. For3nsic/Forensic 2015. 11. 9.

• 

  파티션 테이블 확인하는 방법 이건 저의 실제 쓰는 하드를 뜬건데요 보면 0000001b0을 보면 마지막에 80 20 이 보이는 것을 확인 할수 있다. 그전에 00 00 은 널값인것을 알수 있고 그전에 4바이트는 디스크 서명 구역인것을 알수 있다. 80 20 부터 파티션부분이 시작 되는 것이다. 80 나타내는 것은 Boot Flog 즉, 부팅에 사용하는 것이다. 쉽게 말해서 os가 깔려있는 것이다. 만약 00이라면 부팅에 사용하지 않는 것이다. 노란색 부분이 하나의 엔트리로 16byte 한 파티션을 나타내는 것이다. 이렇게 순서를 보면 첫번째, 두번째, 세번째 파티션들은 주파티션인 것을 확인할수 있을 것이다. 그럼 마지막의 4번째는 무엇일까? 의문이 든다. 이는 확장파티션이다.(논리 드라이브는 마지막 확장 파티션에서 연결되는 EBR에.. For3nsic/Forensic 2015. 11. 3.

• 

  MBR 구조 MBR 구조를 보면 이러한 구조를 가지게 되어 있다. 우리가 기본적으로 MBR을 보면 512byte를 활당하여 가지고 있으며 440을 코드 영역에서 가지고 있으며 4바이트를 디스크 서명을 차지한다. 그후 2바이트는 쓰레기 값이고 나머지 값은 파티션값을 나타낸다. 마지막 2바이트는 55 AA를 나타냄으로서 하드상 문제가 없다는 것을 나태내준다. For3nsic/Forensic 2015. 11. 3.

• 파일시스템 분석 최근 삭제된 파일이나 사건이 일어난 시점에서 삭제된 파일은 우선 분석 대상이 된다.파일 시스템에 파일 삭제 시 실제 데이터 삭제 없이 메타정보만이 수정 가능 하다.즉, 삭제된 파일의 메타 정보 구조가 덮어써지지 않았다면 파일은 거의 완벽하게 복구된다는 말이다. 디스크 포맷정보 NTFS : 비연속적/연속적으로 할당된 파일 모두 완벽하게 복구가 가능하다.FAT : 비연속적으로 할당된 파일은 부분적인 복구만 가능하다. (FAT Table의 초기화로 연결정보가 사라진다.)삭제된 파일 탐색 FAT12/16/32 : 루트 디렉터리로 부터 탐색하면서 디렉터리 엔트리 첫 바이트가 0xe5인 엔트리 수집 수집 exFAT : 파일 디렉터리 엔트리 값이 0x05인 엔트리 수집NTFS : $MFT 의 $BITMAP 속성에서 .. For3nsic/Forensic 2015. 11. 2.

• 컴퓨터 기본 컴퓨터의 하드웨어 구성 부품 케이스 – 컴퓨터 시스템 구성 부품을 감쌀 뿐만 아니라 담고, 지탱해준다. 전기에 감전되는 것을 막아주며 내부구성 부품을 먼지와 습기, 외부에서의 직접적인 충격으로부터 보호 해준다. ROM(Read Only Memory) – 데이터를 영구적으로 혹은 반영구적으로 저장할 수 있는 메모리의 한 종류로, 그안에 내용을 추가하거나 수정하는 것이 거의 어렵거나 불가능한 성질을 갖고 있다. 또한 비휘발성의 성질을 가지고 있다.읽기 전용과 비휘발성? 이는 컴퓨터가 부팅에 필요한 컴퓨터 시동 구성 설정과 코드를 갖고 있는 파일을 ROM에 저장하는 데 적절하다 -> ROM BIOS RAM(Random Access Memory) - 컴퓨터의 주 메모리로서 데이터와 코드, 설정 등을 저장하기 위.. For3nsic/Forensic 2015. 11. 1.

• 

  Encase 파티션 복구하기 Encase 를 이용하여 파티션을 복구하자!!! 먼저 keyword를 추가하자 추가할 키워드는 \xEB..(MSDOS)|(NTFS) For3nsic/Forensic 2015. 10. 30.

• 

  Encase Partition Table (Entry size : 16byte) - Partition Table Layout`[그림 1] [그림 2]기본적으로 MBR은 512 byte를 가진다. 코드영역이 440 byte를 가지고 디스크 서명이 4byte를 가진다. 파티션테이블에 가기 전에 2 byte가 비어있으며 16 byte씩 이루어 져있다. 하나의 디스크에 최대 네 개의 파티션만을 기록할 수 있다. 그게 바로 주 파티션이다. 이제 첫번째 파티션을 찾아 보자. - NTFS가 시작하는 곳은 MBR로부터 63sector만큼 떨어 져있다.(File System은 MBR로 부터 63 sector 떨어진 곳에 위치한다.) For3nsic/Forensic 2015. 10. 30.

• 

  Encase - 실습 2 북마크 - Highlighted Data Bookmark : 데이터 복사해서 북마크 - Notable File Bookmark : 개개의 파일을 북마크파일선택 -> 북마크 - Folder Information Bookmark : 폴더의 트리 구조Bookmark Folder structure 선택 - Notes Bookmark : 주석 가능 For3nsic/Forensic 2015. 10. 30.

• 

  Encase - 실습 1 1. 증거 장치 마운트가. USBAdd Device -> Local Drivers -> Choose Drive(E:\) [그림 1] Choose Devices [그림 2] 나. 이미지이미지 만들기 - Edit -> Acquire - 기본크기 : 640MB- 압축- 저장경로 [그림 3] 키워드 추가 Global keyword : view -> keyword(keywords.ini에 저장)local keyword : view -> Cases SubTab -> keyword ? 4.2에는 Hemmmmm... [그림 4] 키워드 검색 : keyword -> New -> 키워드 입력 -> 키워드 체크 - 이미지 : Discarded Diskette 추가 - keyword 검색 : Basher, Stewart, M.. For3nsic/Forensic 2015. 10. 30.

• Encase - 개요 little-endian - 첫번째 저장바이트에 숫자의 가장 하위 바이트를 위치한다.- intel 같은 IA32기반 시스템이 주로 쓰는 저장 방식Ex)0xaabbccdd -> ddccbbaa big-endian - 첫번째 저장바이트에 숫자의 가장 상위 바이트를 위치한다. - APPLE, UNIX 계열 Ex) 0xaabbccdd -> aabbccdd FAT(File Allocation Table)- Directory Entry : 파일/폴더이름, 시작 클러스터의 정보- FAT : 클러스터 현재 사용 여부, 사용가능 한지 확인 NTFS(New Technology File System)- $MFT : 파일/폴더 이름, 시작 클러스터의 정보- $BitMap : 클러스터 현재 사용 여부, 사용가능한지 확인 Res.. For3nsic/Forensic 2015. 10. 30.