ssoL2 TISTORY

문제 : [B] 유출된 자료 거래 사건[1]에서 많은 USB 중 PC에 꽂은 USB를 정확히 찾은 상태, 이제 해당 USB로 옮긴 파일을 찾자. 문제 설명에서 USB에 옮긴 파일을 찾을 때 해당 파일은 어디서 입수했을지 생각하라는 힌트를 제시했다. 파일이 갑자기 뿅 나타날 일은 없으니까 가장 먼저 인터넷 기록인 크롬 기록을 살펴보았다. HISTORY를 export해서 DB Browser for SQLite로 열어본 상태이다. 다양한 URL이 나오는데 그 중에서 이메일과 관련하여 파일 수집 과정을 추론할 수 있었다. 1. Gmail을 사용하기 위해 2. Google 계정을 만들고(아이디도 대충 지었음 yesnamed1234) 3. 받은편지함(1)을 보면 알 수 있는 것처럼 이메일을 수신해 파일을 다운로드한..

문제 : 내부 자료가 유출된 상황, 현장 증거 자료인 USB의 흔적(USB 제조회사, USB 볼륨레이블)을 찾자. USB 외장하드를 연결하면 여러 가지 흔적이 남게 된다. 자세한 과정은 나중에 따로 정리할 예정이지만 간략하게 설명하면 드라이버 설치 흔적, 마운트 흔적 그리고 연결 해제 흔적 등 "여러 흔적"이 레지스트리의 "여러 곳"에 남게 된다. 아래의 경우는 레지스트리의 USBStor 키 항목을 이용하여 사건을 해결하였다. - 사건 파일: 윈도우 레지스트리와 USBStor 텍사스 오스틴의 조그만한 도시, 아동 포르노 사건외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견 출처: https://ssol2-jjanghacker.tistory.com/entry/이제-시..

문제 : 실수로 중요한 사진을 지운 것 같은데 복구해 줄 수 있냐잉 -_-^ ? (해당 다운로드 파일은 용량이 커서 다소 오래걸림) diskC랑 diskD ad1 나옴 -> FTK Imager로 살펴봅시다. diskD는 오류 메세지가 뜨면서 접근이 불가능하다. 그러나 문제에서는 '사직 복구' 관련 문제이므로 diskD랑은 관련 없는 내용이라 생각했고, 아마 다른 문제에서 사용되는 디스크인 것 같다. diskC를 살펴봅시다. 우선적으로 desktop을 살펴보니 [과제]의 흔적이 남아있었는데, 고양이와 강아지에 대한 심오한..자료를 볼 수 있었다. 이후 downloads를 보는데 youtube.jpg가 Regular File이 아닌 $I30 INDX Entry이다. https://www.osforensics..

질문 : 악성코드에 감염된 PC인데, 악성프로그램을 찾아내라 !!!!! 🚨 다운 받았더니 AD1파일 등장 -> AD1을 지원하는 FTK로 분석해봅시다. Window PC 등장 악성 프로그램을 실행시켰으니 감염이 되었을 것이다. 그렇다면 prefetch가 남아 있을 것 windows에 있는 Prefetch 파일은 export해서 WinPrefetchView에서 관찰해보자 음.. 오지게 많다. prefetch로 당장 할 수 있는 것은 없다. 다시 back >> prefetch로 확인 할 것이 있을 때만 보기로 결심 Users에서 타고 내려가보면 대충 Vbox를 설치했음을 알 수 있음 Desktop 바탕화면에 VboxTester 실행파일 존재 그리고 AppData 폴더 속에 Chrome 방문기록, 다운로드 기..

공부 1. 보고서 특강 2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등 3. veracrypt를 한 번 사용해 보세요. 1. 보고서 특강 디지털 포렌식 분야에서 보고서 작성의 비중이 높다. 어떤 대회는 점수 비중이 50%나 될 정도로.. 보고서의 전체적인 구성은 다음과 같다. 1) 문제 내용 2) 사용한 도구 목록 (툴 이름, 발행자, 버전, URL) 3) 수집한 아티펙터 목록 ($MFT, $UsnJrnl$J 등) 4) PC 환경 (운영체제, Bit, ReleaseId, IP 주소) 5) 사용기록 타임라인 -> 위에 수집한 아티펙터를 기준으로 시간 순으로 내용이 기록되며, 파일 생성 기록은 NTFS Log Tracker를 사용함 6) 문제 풀이 Writeup 7) reference..

포렌식 조사관들에게 있어서 인터넷은 상당한 양의 증거가 저장되어 있는 장소일 수 있다. 따라서 웹 서핑, 채팅, 이메일, 소셜 네트워크 등이 어떻게 작동하느지 그리고 어디에 흔적을 남기는지를 반드시 이해해야 한다. 1. 인터넷 개요 웹 페이지는 어떻게 작동할까 사용자가 브라우저에 있는 주소창에 웹 주소나 URL(Uniform Resource Locator)를 입력 URL은 호스트, 도메인 이름, 파일이름의 세 부분으로 구성 HTTP(Hypertext Transfer Protocol, 하이퍼텍스트 전송 규약)는 인터넷에서 사용되는 프로토콜 프로토콜 : 다른 장비와 통신할 수 있도록 사전에 협의한 방법 http://www.digitalforensics.com 도메인 이름은 "digital forensics"..

데스크톱 시장의 90%(Brodkin, 2011)는 윈도우를 사용하고 있으며 포렌식 조사관은 대부분 윈도우 컴퓨터를 상대해야 한다. 1. 삭제된 데이터 삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다. 파일 카빙 : 할당되지 않은 공간에 있는 데이터를 수집하는 작업 할당된 공간 : 컴퓨터가 사용 중에 있고 기록 및 유지하고 있는 데이터 즉, 윈도우에서 볼 수 있고 열 수 있는 모든 파일 파일 시스템은 이러한 파일을 관리하고 기록함 2. 최대 절전모드 파일(HIBERFILE.SYS) 최대 절전모드와 하이브리드 절전모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장 컴퓨터는 "잠"을 세 가지 모드 1. 대기모드 2. 최대 절전모드 3. 하이브리드 절전모드 등 각 모드는 전력을 전..

보호되어 있는 글입니다.

또 나왔다옹 암호학 포렌식 문제 바로 그냥 16진수로 바꿔서 text로 변환시켜 봅시다 위의 스트링을 넣으면 최종적으로 16진수를 출력하는 프로그램을 짰당.py (더 쉽게 어떻게 짜는지 아이디어좀,,, 머리 조금 아팠당;;) 결론적으로 16진수 출력 완료 ! 오호 이번에도 문자가 나왔는데 대문자만 있네 근데 저번처럼 대소문자 섞이고 공백없을 때는 base64 decoding하면 됐는데, 이번엔 공백도 있어서 base64는 아닌 듯 하고,, 보면 볼수록 어떤 문장을 치환 암호로 바꿔놓은 듯한 느낌쓰 바로 시저암호 파이썬 파일 구해서 돌려봄 해당 코드는 se-you.tistory.com/4 에서 따왔습니다 ! 형광펜 친 부분을 치환 암호로 돌릴 문구로 바꿔놓으면 된다. 결과 값으로 시저 암호 KEY 26개 ..

굉장히 당황스러운 문제 저는 분명 디지털 포렌식 분야를 선택했는데 암호를 풀라뇨?! 일단 포렌식 문제에 위치한 이유가 있을 것이다. 위의 10진수 숫자들을 16진수로 바꿔서 HxD에 넣어보고 싶다는 생각이 들었다. 일단 파이썬으로 해당 숫자를 16진수 바꿉시당 따단 HxD에 넣어보니 특정 파일은 아닌 것 같았다 text가 너무 이상해,, 혹시 authkey인가?! 싶어서 넣어봤지만 역시 아니구 ^^:;;; 그래도 이 text로 마구마구 섞으면 나올 듯 싶었다. 일단, 문제 이름을 생각해보면 암호1문제였다 ! 고로 어떤 것으로 encode하는게 아닐까? 생각이 들었움 그래서 suninatas의 tool에서 사용해보았다 Hex encode하니 원래 16진수 값으로 돌아옴 ㅎㅎ url 갖구 놀아도 이상하구 b..

현장에서 조사관은 다양한 종류의 기기와 저장 매체와 부딪쳐야 한다. 1. 범죄 현장과 증거 수집 증거 확보하는 것이 가장 먼저 해야할 것 디지털 증거는 인터넷, 전화 또는 기타 네트워크에 연결되어 있을 수 있음 - 이동식 매체 크기가 작은 메모리카드에는 잠재적 증거 저장 가능성 - 이동식 저장 매체 DVD, 외장 하드, USB 드라이브, 메모리카드 기기, 저장 매체 뿐만 아니라 주변의 책과 사용 설명서, 쓰레기통 등을 살펴봐야 함 모든 포렌식 조사관에게 있어 암호화는 되도록 피해야 함 - 휴대폰 문자메세지, 이메일, 전화기록, 연락처 등 가장 중요한 것은 수정되면 안 된다는 것 !! 1. 핸드폰을 끈다 2. 무선 신호로부터 보호 가능한 특수 용기에 밀봉(패러데이 봉투) 증거의 무결성을 지키지 않으면 법정..

랩과 툴에 대한 품질보증이 중요하며, 유효하고 안정적인 결과만이 생산될 수 있도록 보장되도록 해야 한다. 1. 포렌식 랩 미국 FBI의 RCFL(Regional Computer Forensic Laboratory, 지역 컴퓨터 포렌식 연구소) 포렌식 긍정적 영향 - 가상 랩 디지털 랩으로, 다른 위치에 있어도 되는 '가상' 랩 비용절감, 많은 자원에 접근 가능 (ex 툴과 저장장치), 불필요성 감소 역할 기반의 접근제어를 가능하게 함 (ex 조사관,랩 관리자 : 완전 접근 / 변호사,검사 : 제한 접근) 가상 랩을 운영하기 위해서는 1. 보안 2. 성능 3. 비용 이 고려되어야 함 - 랩 보안 증거와 시설에 대한 접근은 엄격하게 관리해야 함 출입 카드와 접근 코드같은 디지털 솔루션은 열쇠보다 더 많은 이..