Forensics, Digital Behavior 등 뭐 그런거...

EnCase Portable Edition 잠깐 사용기

용기백배 — Mon, 23 Nov 2009 06:12:44 GMT

EnCase Portable 뉴스를 봤을때, 한창의 Live Forensic 이슈로 인해서 기대를 엄청 많이 하였으나
구할수가 없어서 (가난..-_ㅜ) 그냥 지내던 중 아시는분의 관대한 처분으로... 써보게 되었다. 근데
하필 그때가 일이 무진장 몰려있어서 제대로 못써보고 평소 궁금했던 사항들 위주로만 확인 해봤다.
일반적인 사항은 공장장님께서 잘 정리를 하여 주신 포스트를 보시면 될듯

More on EnCase Portable
EnCase Portable first look
EnCase Portable Second Look

물론 PE는 생각보다 광범위한 분야에서 사용하라고 만들어놨겠지만, 개인적으로 과연 이게 내 업무에
맞는 것인가 하는 궁금증만 해소 하고 말았다.(게을러서...)

□ CD랑 USB안에 내용은 대충 아래와 같다.

□ 급한대로 대충 골라서 돌려봤다.

□ 결과는 외부 저장장치(대부분 USB)에 저장되고 이를 분석환경(FE 버젼 등)에서 분석하는 식이다.

딴건 시간이 너무 오래 걸려서 인터넷 히스토리만...

이게 시간이 걸리는게 뭐고 하니 파일들을 긁어오는데 원본에서 복사 하는 시간이 꽤
오래 걸리는 것 같다. 해당 파일들을 모아 lef 파일로 만들어준다.

□ 잠깐 사용후기...
간략하게 한줄로 요약하면 '내 업무에 활용도는 많이 떨어진다' 정도겠다.
개인적으로 아쉬운것은 이것의 명칭이 Portable Edition보다는 Portable Module이란게
더 적절한것 아닌가 싶다. 다른 모듈(Decryption Suite 등)처럼... 타 에디션들에 붙여 파는
정도면 아주 적절하고 인기 있는 모듈이 되었을지도...모르겠다.
그리고 GSI가 무슨 개념을 염두하고 만들었는지 모르겠지만 약간 계륵이 아닌가 싶은 생각이..
Portable Edition이라면 Portable하게 분석이 가능했어야 더 ...

물론 이렇게 말한다고 해도 이미 준비된 스크립트로 현장에서 빠르게 대처하는데 도움이
안된다는게 아니다 매우 많이 되고 훌륭한 결과물이지만 개인적인 욕심으론 GSI가 다년간의
UX를 더 많이 살려줬으면 싶다. 아니면 내가 활용을 못해서 그렇게 느낄지도...-_-;;
요새 춘추전국처럼 막무가내로 여러 소프트들이 생기는 상황에서 GSI는 좀 더 사용자 요구사항
분석을 해야 하는거 아닐까? 물론 그들의 환경과 '내 업무'환경과 많이 달라서 더 불편하게
느끼는 것일테지만...그냥 좀 아쉽다 ㅋ 한카피 갖고 싶긴한데... 가격도 많이 떨어졌다고 하던대..
그럼에도 대충의 업무 적용도를 생각해서 활용 가능성을 보고 사기엔 우리가 너무 가난..-_- 크흑

멋모르고 돌린 파일 추출 스크립트 돌리는데 걸리겠다는 몇겁의 예상 시간을 지켜보던 중
내 얇은 인내심의 끈을 끊어버린 결정적인 메시지...

뭐 이것저것 많이 돌려보다가 딱 한번 나온거지만...
아무래도 바운더리 테스트는 나의 원초적인 본능인듯...

tag : 21세기에런타임이왠말이냐

오랫만의 잡담 ...

용기백배 — Sat, 14 Nov 2009 16:32:15 GMT

근 한달만의 블로그 로그인...

1. 그간 조금 정신이 없었다. 출장도 잦았?고 혼자 감당하기 어려운 양의 업무가...
사실 누군가가 도와주고 이끌어 주면 좋겠지만, 이쪽 분야는 너무 생소하다보니
사수?라는 개념이 희박한것 같다. 다같은 동료? 개념이랄까...
그런 관점에서 약간 허덕였다. 일단 제일 큰 문제는 형편 없었던 업무 의지력이였지만,

2. 앞으로 역시 포렌식 단신은 그만 하는게 좋겠다. 힘들어도 지속하면 억지로라도
어쩔수 없이 공부 하게 되니깐 꾸준히 올리고 싶었지만, 많은 것들이 중복되기도 하고
시간도 많이 뺏기게 되어서...
개인적으로 다른 프로젝트에 시간을 쏟고 싶어졌다. 그리고 어디에나 있는 정보말고
내가 겪는 경험들 위주로 포스팅을 해야겠다는 생각이 더 강해졌다. 단신을 올리고
써야지 하는 바람에 못올리고 넘어가는게 많아졌는데 이건 바람직하지 못한것 같다.

3. 오랫동안 글을 안썼는데도 방문자수는 큰 변화가 없다. 꾸준한 방문자분들께 감사를
해야 하는걸까 내 글이 방문수에 크게 영향 끼치지 못할 정도로 가치없음을 한탄해야
하는걸까...요새 '180 미만 루저' 이슈가 많던대 블로그 히트수도 해당 되는걸까?

4. 운동을 해야겠다. 축구모임도 점점 뜸해지고 건강 관리가 힘들어지고 있는 가운데...
출장용 가방은 무거워져가기만 하고...역시 이전글의 CPark님 말씀을 들어보니 체력은
업무 능력의 중요한 부분을 차지 하는것 같다. 다른 사람들처럼 덤벨이나 역기말고
한손으로 출장용가방 들었다놨다, 누워서 PC본체 들었다놨다...뭐 이런거로...
내글을 보는 영신FC 일원들은 반성하자...덥다고 안하고 춥다고 안하면 언제 하냐...
...나도 반성할께..)

5. 지난 몇달간 지속되는 슬럼프는 극복을 해가는것 같다. 이제는 가을 좀 타야겠다.
우수에 찬 가을 도시 남자..후후... 이런건 안되겠지?-_-;
그래도 책도 보고 많이 먹고...가을에 할 일은 다 챙겨봐야할텐데...

6. 뭐든 구형인 나는 신종플루도 안걸린다. 걸려도 구종플루... 지난주말 39도까지
열이 오르니 이러다 훅가겠다 싶고 무섭더니, 금새 나았다. 남들 모르게 아프고 나니
좀 억울?하다.감기약이 주는 약간 몽롱한 기분이 그리워진다.

7. 가끔 나의 부족한 능력이 너무 싫어질때가 있다. 좀 똑똑하게 일할수도 있을텐데...

8. 요새는 블로그 제목을 너무 대충 지었던게 아닌가 하는 후회가 든다...
뒤의 '뭐 그런거'라도 빼야 될 꺼 같은데...

091013 포렌식 단신 모음

용기백배 — Tue, 13 Oct 2009 08:49:23 GMT

■ 자체 암호화 기술 SED 탑재 HDD 출시…지원 콘트롤러 사용해야
앞으로 정말 물리 이미지 확보에 어려움이 많을듯-_-;
근데 이게 속도 문제는 극복이 된건가 모르겠네..

■ 데이터 부정사용 통한 유출피해 어떻게 막을까?
이런 데이터 유출 방지나 유출 경로 추적에서 제일 중요한건 Data의 Life-Cycle을 명확히
파악할 수 있어야 한다고 생각한다. 그게 안된 상태에서 뭘 어쩌겠는가...

■ JP모건체이스 펀드매니저 사건
뎅꽁이님 포스트를 가져왔다. 수사하는데 계정 삭제를 해서 증거 보존에 문제가 있었다 뭐 대충
그런 내용 같은데, 클라우드 컴퓨팅 환경에서 이런 문제가 계속 대두 될 것이다. 과연 수사기관들은
대책을 가지고 있는 것인가? 매년 IT 이슈를 Top 10 아니면 Top 5를 여기저기서 내놓는다.
그런 이슈들에 대한 대책이 있는가?를 따져보면 참담하다. 우리나라가 정말 IT강국으로 갈꺼면
그런건 기본으로 바쳐줘야 하는거 아닐까?

■ Mounting Images Using Alternate Superblocks (Follow-Up)
이전에 올라왔던 Mounting Images Using Alternate Superblocks에 관련해서 ext FS driver의
변경사항을 반영해서 올라온 포스팅~ 전에 포스팅을 참 감명 깊게 봤었는데.. :)

■ Forensics Field Guide Series

Windows Forensics Field Guide
by Harlan Carvey
Mac OS X Forensic Field Guide: Digital Forensics Field Guides
by Jesse Varsalone
Malware Forensic Field Guide for UNIX systems: Digital Forensics Field Guides
by James M. Aquilina, Cameron H. Malin, Eoghan Casey BS MA
Malware Forensic Field Guide for Windows Systems: Digital Forensics Field Guides
by James M. Aquilina, Cameron H. Malin, Eoghan Casey BS MA

아..Carvey가 또 하나 준비 하나 보구나 -.,- 아직 발매전이랍니다. WFA2나 빨리 봐야 할텐대..

■ The Mobile Forensic Arsenal
출장용 가방에 들어가야 할것...
처음 제목을 보고 모바일 포렌식 도구가 뭐 새로 나왔나? 싶었는데...그냥 외부 출장용 준비를
위한 내용 같다.
   1. Bootable CD/DVD, Capable of Software Write Blocking (such as Helix)
   2. Hard Drive Adapter Cable (USB) that supports SATA and IDE drives of different sizes
   3. Trusted Toolkit with OS Static Binaries
   4. Hashing and Drive Imaging Utilities (dd and md5sum are the most common)
   5. Portable Malware Scanning Software (make sure there is a scan-only feature, meaning no automatic removal)
   6. Network Sniffer Software (such as Wireshark)
   7. Large External Storage (1 Terabyte USB Drive)
   8. Notebook, Pen, and Marker
   9. Evidence Bags and Labels
10. Digital Camera
11. Small Screw Driver Set
들고 다닐수 있음 다 넣음 좋지...근데 졸라 무겁단 말이야 - _-; 어느정도 휴대성과 대응수준에
대해서 적절한 선을 유지 해야겠다. 트레이드 오프란건 어디에나 있으니깐...

■ Seagate HDD 생산일자 확인
아아아 이런게 있군요! 가끔 나사나 스티커 때문에 못보게 되는 경우가 발생하기도 하는데, 좋은 자료입니다.

■ New Tool: Disk2vhd v1.0
Sysinternals 팀도 꽤 열심히인것 같다. 물리 디스크를 가상디스크 파일로 변환해주는 툴...
아직 써보진 않았는대 나름 쓸곳이 많을것 같다. +_+
간단 리뷰 확인은 다음 링크에서 Disk2vhd – utility to creates Virtual Hard Disk

■ Incident Handler, Incident Analyst, Threat Analyst, and Developer Positions in GE-CIRT
아잉...이거 확 땡겼는데... 흑흑....

■ Jail chaos as lag hacker is left in charge of computer system
이거도 좀 웃기는거 아님? -_-;;; 맡긴놈이나 그안에서 또 일을 벌린 놈이나-_-;

■ Memory Analysis with FTK 3

음 깔끔하군-_- UI는 EnCase보다 나은것 같다는...아직 좀 부족 해보이지만, 이런 노력이 좋은것 같다.
FTK 3의 메모리 분석 기능 리뷰글 정도로 보면 도움이 되실듯

■ 스파이웨어 판정기준 달라 혼란
이제 소프트웨어도 사람처럼 그 행위의 의도?에 따라 판정을 해야 할..-_- 같은 URL 후킹을 해도
무엇을 위해? 하는가를 따져서 정해야지 일률적으로 적용하긴 무리가 있어보인다.

■ Richard Bejtlich의 Protect the Data 시리즈
"Protect the Data" Idiot!
"Protect the Data" Where?
"Protect the Data" from Whom?
그래 이제 뭐 '시스템'을 지키는게 아니고 '데이터'를 보호해야 할 시대니깐...
요런 글들은 보기 편하고 도움이 많이 된다.
+"Protect the Data" -- What Data?
(하나가 또 올라왔다 09.10.14)

■ Windd 1.3 Final! (x86 and x64)
앗 Final 버젼이 릴되었군요... 윈도우 전용으로 막강한것 같습니다. mdd보다 깔끔해진듯
아 근데...스샷에 보니 Matthieu Suiche의 시스템은 램이 8기가인가봐요...
8기가군요...아 8기가... 게다가 이것만 있는것도 아닐텐대...8기가군요. 램...

■ Sniper Forensics -one shot one kill
Chris Pogue가 SecTor 2009에서 발표한 자료..<여기> 가면 SecTor의 다른 발표자료들도
확인 할수 있다. 간지나는 제목...발표자료도 깔끔하니 참 잘만들었다.꼭 체크 하자~

■ Network Forensics Puzzle Contest #2: Ann Skips Bail
부지런히 2번 테스트를 공개했다. 역시 마찬가지로 pcap을 주고 질문에 답하는것
특이한건 이번부터 제출 양식을 만들어 제공한다는것...막무가내로 보내서 짜증났었나보다 ㅋ
앞과 마찬가지로 제일 엘레강스한 풀이가 1등 ' -'

■ Sqlmap version 0.8 release candidate 1

오우와! 요런툴이 있었군요-_-; 몰랐다는...PT하시는 분들은 이런거 좋아 하실듯;
동영상 딜레이가 엄청 걸리는군요 이상한데-_-?

■ Electronic Newsletter on the fight Against Cybercrime
좋군요. 바로 뉴스레터 등록해뒀습니다-_- 다양한 분야에 종사하시는 분들이
공유하면 좋을만한 내용입니다. 각자 원하는 글들이 조금씩은 있을겁니다 -_-ㅋ
사무실에서 하나 뽑아서 돌려보기 좋은 문서

091005 포렌식 단신 모음

용기백배 — Mon, 05 Oct 2009 11:20:50 GMT

■ The Push for Live Forensics
이 글 꼭 읽어보세요. 술 약속 있으시죠? 그거 30분만 늦게 가시고 이거 읽고 가세요.-_-
이전의 단계에서 'Dead Forensic'이 최선의 접근법이였다고 한다면, 이제는 Live가 짱이다는
뻔한? 내용과 함께 예를 몇개 보여주는데 이게 꽤 유익합니다. 특히 공개된 The Ninth U.S.
Circuit Court of Appeals 관련 설명은 국내에서 접하기 힘든 내용입니다. 특히 아랫 부분

"In plain view will no longer work for computer investigations,
and large collections of computer data will not be allowed to leave the site."

결국 글이 광고로 마감되는거 같아 아쉽지만,그럼에도 불구하고 가치있는 글이라 생각 합니다.

■ Decrypting a PointSec Encrypted Drive Using Live View, VMWare, and Helix
PointSec 암호화 걸린 드라이브를 복호화 해서 보는 방법... 이러한 과정은 '죽은' 하드를 살려
보겠다는 취지다. 역시 '살아 있는' 하드를 함부로 죽여선 안될꺼 같다. 개념은 매우 단순하다.
복호화 디스크를 만들고 암호화된 하드를 붙여서 Live View로 살리면서 전에 만들어진 복호화
디스크로 시동...근데 이게 막상 하려면 손이 많이 간다. 실제로 하다보면 이것저것 문제가
생기기도-_-;; 전형적으로 윈도우가 자기 깔렸던 PC아니라고 뻐대는 경우-_-;;난감;;아무튼
Chad Holmes가 댓글에 달아놓은 방법도 꽤 쿨해보인다. 둘다 약간 목적이 달라 어느게 낫다고
하긴 힘든것 같다. 둘다 숙지 하는게 좋겠다.

■ Best Practices In Digital Evidence Collection
The need for changes 부분에서 다양한 현재의 양상을 설명하며, Digital Evidence 수집 방법에
변화가 필요하단 이야기와 함께 Best Practices를 소개하고 있다.이것도 뼈와 살이 되는 글 강추!

■ 날아간 하드.. 복구하기 전 주의사항
파코즈에는 정말 전문가들이 많은듯... 이 분께서는 직접 몸으로 부딪혀 정리 하신듯 싶다.
소중한 자료...맨날 앉아서 책만 파지 말고 이렇게 실제 테스트를 통한 체험이 필요하다.
물론 실전 복구 위주라 관점이 약간 다르긴 하지만...음 한번 읽어보는게 큰 도움이 되실듯,

■ DKOM 탐지 방법
DKOM으로 프로세스를 숨기는 루트킷 탐지 방법!, 난 루트킷이 ActiveProcessLinks 조작만 있는줄
알았는데, HandleTableList란것도 조작하는게 있구나-_-;;역시 오묘하다.ㅋ Suban님 덕에 좋은거
알았다는=_= ㄳㄳ

■ The Top Cyber Security Risks
SANS에서 발표한 최근 사이버 위협에 대한 보고서? 농축해서 잘 정리된 듯 싶다. 신난다.

■ Guidance' EnCase(R) Certified eDiscovery Practitioner
공장장님께서 이미 포스트 하신 글: EnCEP - EnCase Certified eDiscovery Practitioner?
프로그램 안내문: EnCase(R) Certified eDiscovery Practitioner Program
whereismydata에 올라온 장단점글: E-Disclosure Qualification

음, 이걸 자격증으로 개발해내다니...쩝 아직 국내에선 효용성이 그다지...@_@ 디스커버리 제도가
도입이 되면 좀 활발해질것 같다. 우리나라사람들 자격증 따는건 뭐 짱이니깐-_- 그때가서 따도...
그게 아니면 외국 취업을....+_+

■ Windows Scheduler (at job) Forensics
리눅스 시스템의 cron 같은 At으로 등록된 작업 목록 확인 방법... 흐음

■ 개인 PC 데이터 유출 방지 솔루션 무상배포
윽 제가 종이에 적어놨던건대...솔루션이 나왔군요! 특허까지@_@;;
네 이런게 진작 나왔어야죠 뭐 내가 못했으니깐 할말 없고; 여기에 트래픽도 감지 해서 이상한거
잡아내는 버젼도 있겠죠? 보니깐 Suite이 많던대...아무튼 건승하시길!

■ Importing Hashsets into EnCase (Part 1), (Part 2)
예전에 올라왔던 비디오랑 다른건가?-_-;;새삼 올라왔다.

■ Network Forensics Puzzle
얼마전 나간 네트워크 포렌식 퍼즐 답안 수상작; 이것말고도 솔루션이 몇개 더 있는데...
이놈들 차원이 다르다-_-

■ The Death of Forensic Imaging - Part II
Live로 간다는 포스트가 유독 많이 눈에 띤다. 그나저나 디스커버리 쪽 블로그는 왜 이리 글을
좁게 쓰는거야-_-;; 기록처럼 쓰나;;좀 보기 답답하다는...

■ listview, treeview 등의 데이터 추출 (Sys Explorer)
jeff님께서 간만에 포스팅을 해주셨다~ 이게 근데 기본 컨트롤 아님 안먹히는듯-_ㅜ

■ Digital Forensics: Great Need, New Careers - Rob Lee, SANS Institute
Rob lee의 인터뷰 팟캐스트랑 기사 팟캐스트랑 똑같은건가? 똑같으면 이거로 영어공부나-_-;;

■ AccessData FTK 3 Preview
FTK 3 프리뷰네요. 음, 모르겠습니다. EnCase 쫓아가긴 힘들듯 싶고, 다른 니치 타겟 벤더들에겐
들들 볶이는 입장이 아닐까 싶은데, 어떻게 진행될진 두고봐야 알겠지요.
FTK UI 영상은 <여길>클릭~

■ Helix 3 Enterprise review
남의 떡이 커보인다고 UI가 제법 괜찮은 것 같다.-_-;;써보고 싶다;;;
개인적으론 FTK보다 이게 더 땡기는듯;;

■ Guardian Digital Forensics Releases Drive Prophet Professional - Forensic Edition
헉 써보고 싶다. Prophet! 하악하악; 그나마 메뉴얼이 올라와 있어 대충 짐작해본다-_-
GDF 버젼인가보다-_-;; 데모 돌려본거랑 비교 했을때 비슷비슷한듯

■ Mounted Devices GUID 분석
최근 알게된 프로니어님 블로그에서 보고 링크~
좋은 글이 많이 올라온다.

■ Directory Entry
마찬가지로 프로니어님 블로그에서 보고 업어온글... 처음 공부할 때 디렉토리 엔트리란게
상당히 헷갈리는데 직접 테스트도 해보시고 하나 하나 찍어가며 적어주셔서 많이 도움이
되는 글이다.

■ Lance표 EnScript 몇개...

EnScript to summarize visited Internet hosts
EnScript to show what folders have certain file types, calculate total bytes and number of files.
EnScript to alert you if there is data in the unused disk area of a physical device
EnScript to find and bookmark foreign language files & folders
EnScript to Catagorize all files by their extension and then provide a count
EnScript to search unallocated for built-in File Signatures

상당히 활발히 올려준다. EnPack만 아니면 정말 더+더 고마울텐대...
Lance 블로그 분위기가 좀 밝아졌다. '화사~' 뭐 이런 느낌? 맨날 리더기로 받아봐서 몰랐는대-_-ㅋ;

■ All Computer Forensics Professionals Are Not Created Equal
Larry 좀 전투적인듯? 수염도 좀 무섭게 생기긴 한거 같아....
Dark Reading에 올라온 기사를 보고 좀 잘못되었다 이런것 같은대
우리나라 같으면 원래 그런거지 뭐 하고 넘어갈텐대...좀 까칠한것 같기도 하고, 저러는게
맞는것 같기도 하고 잘 모르겠음...그냥 받아보는 입장에선 다 도움되는 글일뿐-_-ㅋ
Dart Reading 글도 좋은 글이라 생각했는데 흠...

■ How Is Computer Forensics Different from Incident Response?
위의 글에 이어서 누가 댓글에 IR과 CF가 다른점이 뭐냐고 하자 올라온 글...
Rob lee도 댓글로 껴들었다...-_-;;;나도 이부분이 늘 헷갈리는 부분
IR 전문가와 CF 전문가와 어떻게 다른 것인가? 아니면 같은 것인가?...
읽어봐도 헷갈린다는-_-ㅋ 그래서 어쩌자는거야;;

■ Windows Photo Gallery artifacts
비스타부터 있는 Photo Gallery 조사에 관한 짧은 내용

■ Where was Waldo?
진짜 너무 하는거 아님? Carvey는 정녕 넘사벽 너머의 인간이란 말인가...
MAC이래봤자 끽해야 제조회사나 알아볼줄 알았지...이렇게까지-_-;; 무선인터넷이여야만 하는듯
당연히 국내에서 실현은 거의 불가능-_-하지만, 그래도! SkyHook WiFi Geolocation database를
이용해서 지리적 위치까지 파고 들다니...뭐 제약 사항이 많긴 하지만...이정도까지 파고 들었다는게
어디냐는... 엥간히 의미 있는건 Carvey가 다하네... 남들은 뭐하라고....-_ㅜ

■ GIAC Certifications in High Demand: GCFA (GIAC Certified Forensic Analyst)
아 요걸 한번 따긴 해야겠는데...흠

■ Beta version of NirLauncher package is available to download
앗 베타가 나왔군요 -_-ㅋ 넷웍으로도 받을수 있는것 같고 미리 100개를 packing 해놓은듯 보입니다.

■ USB Device Parsing Logparser Scripts
오옷 USB 기록을 파싱하는 logparser 스크립트, 약간 아쉽지만 활용도는 있지 않을까 싶다.

■ MacForensicsLab releases free tool for investigating crimes against children
MacForensics이라... 역시 맥을 사달라 해야겠군! 뭐 꼭 그게 필요한건 아니지만...=_=
내가 뭐 뽀대 때문에 이러는건 아니고...맥쓰면 왠지 차가운 도시 남자 같자나...
하지만 내 여자에겐 따뜻하겠지... 음? 이건 아닌가...;;;
(마음의소리 영향으로 자꾸... 내여자에겐 따뜻해지고 싶...)

■ Review Platform – eView
e-discovery 솔루션은 따로 본게 없는데 이거 보면 대충 어떤 기능들로 구성되어 있구나 유추? 가능
하다는... 이런거도 써보고 싶긴하지만 아직은 많은 욕심인 듯 싶다.

■ The Failed Hard Drive, the Toaster Oven, and a Little Faith
SANS에도 이런 글이.... 하드디스크 구동이 잘 안되서 오븐에 구었더니 잘되더라 뭐 이런거 맞나요?
맞으면 완전 웃긴건데?-_-;; 인증샷을 요구 하고 싶어진다는....@_@
좀 차길래 오븐에 살짝... 좀 위험해보이는데-_- 이거 따라 하다 어디 터지는거 아님?
글이 전체적으로 좀 웃긴....

■ Computer Forensic Exam of Najibullah Zazi’s Laptop
실제 Case의 판결문인듯? 음...수사 기록이 아니라 좀 아쉽지만...자세힌 못봤지만 실제로
테러리스트의 Laptop의 분석 결과가 증거로 활용된 것 같다.
아 테러리스트 이름이 사건을 이해 하는데 방해가 되고 있... '-';

■ 삭제된 파일 복원 프로그램 : Recuva 1.31.437
Recuva 라고 예~전에 쓰던 프로그램인데...난 삭제 전문 툴인줄 알았는데 복원도 되네...
벌새님 덕에 알게 되었다. 한번 써봐야지..

090911 포렌식 단신 모음

용기백배 — Fri, 11 Sep 2009 10:09:26 GMT

■ New iPhone Forensics Paper
우리나라는 아이폰도 안나오는 나라지만...
공유 WiFi들 암호 다 걸고 좀비 PC 및 스마트폰 차단 법 다 통과 하고
통신사들을 위한 조치가 어느정도 진행되면 그때 들어오겠지...

■ KISA 익명인증기술, IETF 표준에 채택
오 이건 참 활용도가 높을것 같아요. 어서 기관과 기업에 기술 이전을 하면 좋겠어요.

■ DCode - Time Convert 프로그램

DateTime값을 다양한 형식으로 변환해주는 툴,

■ New file-extensions information Web site
원래 여기로 다녔는데, 이제 여기로 가야지...멋지다.

■ Hashes, do they work?
md5가 Collision이 발생한다는 발표 이후 계속적인 이슈에 대해서
깔끔히 정리 해줬다. bit 별로 비교 해나가는건 비현실적인가?-_-? 좀 우문일수도 있는데
애초에 원본과 사본간의 동일성 입증에 왜 해쉬가 들어간거지?-_-;;출력결과를 조작하기
어려워서? 잘 모르겠다. 쩝...법정이 그다지 속도에 크게 신경쓰면서 그런 가이드를
정하진 않았을것 같은대...

■ Digital Forensic SIFTing: How to perform a read-only mount of filesystem evidence
예전에 올라왔던 내용같은대 아닌가?-_-;;아무튼 맨날봐도 헷갈리니깐 뭐 다시 보자ㅋ
조만간 이거로 해서 뭐 좀 해봐야겠다 ㅋ SIFT 은근 좋은듯 mojopac으로 되려나...

■ Tools for mounting images
Carvey의 마운팅 추천 도구들...ImDisk를 쓰고 있는데 마운팅 안되는 경우가 많아서
다른것들도 좀 더 테스트 해봐야겠다.

■ Call for Beta-Testers :: windd utility RC2 (32-bits & 64-bits)
헉 네트워크 서포트? 생각도 못했던 기능이-_-?추가 되었네..

■ Old School E-Discovery, New School F-Response
맞는말 같아, F-Response 정말 잠재력이 굉장한듯...각자 조직에 맞게 잘 활용해보자

■ Updated: Computer Forensic Guide To Profiling USB Thumbdrives on Win7, Vista, and XP
또다른 포스트인 USB Key Analysis vs. USB Drive Enclosure Analysis 이글과 관련해서 업데이트가
되었다. Thumbdrive와 Enclosure? (usb type 저장장치를 말하는듯)이 나눠 보라고 바뀌었다.

■ woanware의 도구들
Carvey의 글을 보고 따라 갔다가 좋은 블로그를 찾아서 뒤적뒤적... 건졌다ㅋ
regextract, chromeforensics, gmailparser 각각 많은 도움이 될듯하여 기쁘다.

■ Backtrack 4 Forensics Capabilities
SWAP 파티션 마운트 없이 부팅해서 포렌식 목적으로도 잘 쓰자 뭐 그런 내용
한번 해봐야지-_-ㅋ 전에 슬쩍 보고 넘어갔다가 다시 찾아봤다는...

p.s: 최근 같은 직장내 몇분이 제 블로그를 보시는걸 알게 되었습니다.(블로그 스니핑? 음?...)
좀 저랑 직급차이들이 있으셔서 은근 신경쓰이다 보니...아래는 그분들께 드리는 변명 아닌 변명..

포스트 올린 시간보시고 업무시간에 놀았다고 생각하시면 곤란합니다. 틈틈히 모아 올리는 건데!
포스트 중에 회사에 대해 나쁜말이 나왔다 해도 나쁜 의도로 말하는게 아니고 회사를 생각하는
마음에서 ... (꾸준히 조심해서 있지도 않을것 같지만 욱하고 올린글이 어딘가에 남아 있을지도...음?)
아; 전 불만 없습니다. 그보다 저 지금 금요일 밤인대도 (평소처럼) 야근 중...+_+
아무튼 그러니깐 짜르지 말아 주세요. 굽신굽신

p.s2: 아 이런건 너무 비굴해보이나...굽신은 한번만 쓸껄....근데 너무 없어 보이자나...
...그래도 두번 정도 되야 마음이 부드러워지지 않겠어? 눈물 이모티도 넣을껄 그랬나...(-_ㅠ 이정도?)
뭐 이런 생각하며 야근야근하는 중...

090907 포렌식 단신 모음

용기백배 — Mon, 07 Sep 2009 08:13:11 GMT

■ Making Reviewing Files From Data Carving Easier: Images
이미지 파일 카빙에 대한 내용, 다른 포맷 내용도 나와 있음 좋으련만... 카빙은 역시
파일 포맷에 대한 이해가 선행되어야 하기 때문에 포괄적으로 적용은 힘든것 같다.

■ Decoding the DateCreated and DateLastConnected SSID values From Vista/Win 7
레지스트리에 박혀있는 시간 정보 디코딩?(파싱) 방법, 댓글을 통해서 Carvey가 RegRipper에서
구현한 코드를 적어놓았는데, 비교해가며 보면 좋다.

■ PRESS RELEASE: Digital Forensic Groups Form Council of Digital Forensic Specialists (CDFS)
CDFS가 CD File System이 아니였다.;; Council of Digital Forensic Specialists 의 약자이다.
미국도 포렌식 전문가에 대한 자격증명 문제 해결을 위해 많은 노력이 있나보다. 국내에서는
사이버포렌식 전문가협회에서 발행하는 자격증이 있긴한데, 아직 공인력이 많이 부족해보인다.
사고대응과 법적문제에 대한 교집합 영역에서 활동할 수 있는 사람들을 인증해주는 효율적인 제도가
나오면 좋겠지만 아직 멀었겠지? 괜히 정부가 껴들었다가 병신 될지도 몰라...SW기술자 신고제도 처럼,
개인적인 바램은 이번 정부는 그냥 다 신경 꺼줬으면...-_-

■ Virtualization
Carvey의 virtualization에 관한 글 봐둘께 많다.
영어로 볼때 왜 virtualization이랑 visualization이랑 맨날 헷갈리는지...USB Office의 관점에서
보면 좋을것 같은대 이를 Forensics업무에 적용할때의 내용같다. 그 영향에 대한 발표자료도
볼만한 듯 싶고 mojopac이란건 WinPE보다 활용도가 더 높을지도... 이것저것 잘 생각해서
준비해야 할듯...mojopac은 좀 더 연구 해봐야겠다호스트OS가 win xp만 되는게 좀 껄끄럽네..

■ DEFT Linux v5 road map and features
DEFT 로드맵이군요. Xplico DEFT edition가 어떤식으로 붙을지 음...
Final stable release는 09.11.09 예정, 일단 쓰던거 쓰면서 기다렸다 정식 릴리즈 되면 써봐야지~

■ Analysis of e-mail and appointment falsification on Microsoft Outlook/Exchange
꼭 읽어보시길...email 정보를 조작한걸 찾아내는 과정인데 흥미롭고 재밌습니다. 물론 모든 경우에
해당하는 사항은 아니겠지만, 해당 case에 맞는 artificial things를 찾는+_+이런게 포렌식의 묘미인듯
중간중간 이해 안되는부분이 있어서 몇번 다시 읽어봐야 할듯-_-;ㅋ

■ Skype (VoIP) 통화 내용을 도청하는 악성코드
이제 공개, 허허허 뭐 이거 말고도 많겠지요? 앞으로 속속 드러나겠죠. 이래서 VoIP는 아직이라니깐,
특히 우리 정부는 일단 사고 나기전까진 대책을 안세우기 때문에(대부분)...- _-

■ EnScripts for cell phone hex dump files (.pm)
휴대폰용 EnScript 만들고 있는데 pm덤프 파일 좀 보내달라는...
이거 개인정보가 너무 많아서 좀 받기 힘들것 같은대-_-;;
그나저나 이거 만들고 나면 EnCase 일반 버젼에 넣어주려나

■ Flash Cookie Forensic s

인터넷 브라우징 정보는 많은 정보를 담고 있지만 가끔 약간 부족할때가 있다. 게다나 너무
알려져서 -_-;;; 이를 위해서 플래쉬파일의 쿠키 정보를 파싱해서 보자는 내용...유익하다.
특히 플래쉬로 떡칠이 된 국내 웹환경에서 아주 좋은 내용인것 같다 :)

■ What is "Registry Analysis"??
레지스트리 분석에 대한 요점만 간단히 버젼... 더 자세한건 WFA 책을...

■ Links and Stuff (Registry research)
위의 링크를 통해 관심이 깊어졌다면 도움이 될만한 링크들!

■ iPhone Forensics Webcasts
아이폰 포렌식 영상과 아이폰 passcode 우회 영상 아쉬운대로 터치라도 해볼까 싶다.-_ㅠ

■ MalWare Forensics
demantos님께서 깔끔한 정리를 해주시고 계십니다 ㅠ_ㅠ 감사합니다 엉엉

■ Update to log2timeline and timeline visualization
3가지 도구를 소개 하는데,

* Zeitline, SIMILE, CFTL(CyberForensics TimeLab) 이다.

또 다른 게시물인 Using SIMILE for timeline visualization를 통하여 log2timeline의 결과를
xml로 export하고 타임라인 만들기를 보여준다.

CFTL의 경우 DFRWS paper를 통해 소개 되었다. 흠 결과물이 점점 나아지는구나...
다들 고생이 많으시구나...

■ ‘악성프로그램 확산 방지 등에 관한 법률’ 정책 토론회 개최
...극히 일부 공감되지만 하는짓 보고 있음 한숨만 나온다. 하라는 일은 안하고 왜이러지...
근데 가만 생각해보면 뻔한 결과다. 고등학교 졸업하고 토익이랑 공무원 준비에 열을 올려서
들어간 조직 뭔가 문제가 생겨서 대책은 세워야겠는데, 아는게 있어야지...여기 저기서
주워듣긴 하겠는데 원론을 모르니 가지고 자기 맘대로 해석-> 뻘짓... 잘하든 잘못하든 일을
크게 벌이고 튀면(딴자리로 이동) 땡, 이짓을 주도 하는게 방통위와 (원장이 바뀐지 얼마 안된)
KISA라는 사실은 그다지 놀랍지 않다.
※ 추가 : 방통위, 좀비 PC·스마트폰 인터넷 차단 추진
어제 단신 올리고 오늘 오전에 올라온 기사다. 이놈들은 기대를 져버리지 않고 띨빵한 짓을
정말 잘하는거 같다. 정말 궁금한건 이 자식들 이 법 통과 시키고 나면 정말 악성프로그램의
확산이 방지되고 다신 DDoS 안 당하고, 사이버테러에 안전하다 생각 하는걸까?졸라 한심...
차라리 신문사들 웹서버 보안 강화만 시켜봐-_- 확산 저지 확실하다.악성코드 배포 인프라를
없애야지, 게다가 방지는 안된다니깐 법안명도 참 야심차네-_- 그게 되냐?

■ Acpo unveils e-crime strategy
영국, 웨일즈, 아일랜드의 Association of Chief Police Officers가 발표한 자료
ACPO가 좀 자료도 자주 내놓고 가이드를 적절히 내놔주는듯...
간간히 정리 자료를 내놔 주니 도움이 많이 된다. 시간을 갖고 봐야지 좋은 자료 :)
위의 기사와 참 대비 되죠?

■ AccessData Youtube
AccessData가 Youtube 채널을 열었다.
현재는 아래의 두개 영상만 올라와 있는 상태다. 구경가자~ 랄랄라~

FTK 3 MAC Support DEMO
Computer Forensics Tips & Tricks: FTK Field Mode

■ 사이버범죄 주제로 법률해석한 ‘인터넷법연구’ 출간돼
음 이건 구해봐야겠군요. 개인적으로 도움이 많이 될듯....음

■ F-Response 3.09.04 Scripting and Hidden CE
FEMC에 대한 스크립트 적용이 가능해졌군요.@_@; 이거 복잡해지는대?

ps: 아 한번에 많이 하려니 빡시네...헉헉...에구 어깨야.

Restore Point Analyzer

용기백배 — Wed, 02 Sep 2009 02:34:16 GMT

윈도우XP에 있는 기능중에 시스템 복원이라는 기능이 있다.

위와 같이 시스템 속성에서 보고, 설정할 수 있다. 기본값이 작동으로 되어 있기에
아마 대부분의 PC에 설정되어 있지 않을까 싶다.

비스타부터 도입된 Shadow Volume이 있지만 여전히 Restore Point 는 유지 되고
있는 듯 하다. 위의 캡쳐는 윈도우7 에서 캡쳐한..(이쁘죠?-_-;;)

아무튼 이녀석은 주로 아래와 같은 사항을 모니터 하고 변동사항을 저장 해두는데

Registry, Local (not roaming) profiles, COM+ DB, WMI DB, IIS Metabase,
Windows File Protection DLL cache, File with extensions listed in portion
of the monitored file extentions list in the System Restore section of the Platform SDK.
<출처:WFA 2nd>

이 내용에 대한 자세한 사항은 WFA를 보시면 더 많은 정보를 얻으실 수 있을듯 싶고,
이 포스트에서는 그 분석을 위한 도구 몇개를 소개 하려 한다.

■ RipXP
Carvey가 만들고 기존 Regripper의 플러그인들과 연동되어 동작하는 툴이다. 시스템 복원을
위해 저장된 레지스트리에 있는 정보를 뽑아 볼수 있게 해준다.입력으로는 현재의 레지스트리
파일(ntuser.dat, system, config, security)와 HDD에 있는 System Volume Information내의
_restore{GUID} 폴더를 지정해주면 된다. 한번 해봤다ㅋ

가만 보면 carvey가 forensics domain에 끼치는 영향력은 마치 김연아가 빙상계에
끼치는 그것과 비슷한거 같다. 한국인이면 밑에 가서 일 좀 하고 싶은데-_-
(미국가면 말도 안통하고 인종차별도 받을꺼 같고...미드보면 그냥 가정집도 졸라 무서운
동네 같아서...발이 안떨어진다...)
한가지 아쉬운 점은 아직 Regripper처럼 플러그인들을 묶은 플러그인 모듈 단위로는
적용이 안된다는 점이다. 일일히 솎아주고 플러그인에 해당 하는 레지스트리 파일이
어떤것인지 선택을 해서 돌려줘야 한다는게 좀 번거롭다. 개선되리라 생각한다.

■ MANDIANT Restore Point Analyzer
사실 이것 때문에 굳이 포스팅 중이라는-_-; Fight the evil. MANDIANT...
(캐치프레이즈가 졸라 멋있는거 같아...머리에 계속 멤도는듯...-_-)
좋은 프로그램을 Free로 많이 올려주고 있는데, 사용법을 잘 모르는게 문제-_-
Document가 너무 빈약하다고 해야 할까..별도 교육도 진행하는거 같긴 한데..
아무튼 이 프로그램은 Restore Point에 있는 파일 목록과 원래의 위치를 보여준다.
사용법은 RipXP보다 간결하다.

위와 같이 Restore point 폴더만 지정해주면 아래처럼 지가 알아서 로그 파일을 긁어온다.

하나 선택하면 위에처럼 보이고 여러개의 로그를 선택하면 종합하여 보여준다.

꽤 간단해서 비전문가들도 접근이 용이하다. 이프로그램의 아쉬운점은 포렌식이나
로그등의 자료에서 가장 중요한 시간 정보가 없다는 점이다. 어디 나올까 싶어서 탭을
이리저리 옮겨봤지만 보이질 않았다-_-;파일시스템의 메타 정보라도 보여주면 좋으련만

아쉽지만 두개의 도구를 적절하게 쓰면 도움이 될듯 싶다. 각각의 프로그램들도 업뎃을
해가며 아마 단점들이 곧? 보완되지 않을까 싶다.

Volatility...

용기백배 — Fri, 28 Aug 2009 08:28:15 GMT

Memory Forensics Framework Volatility...

이미 뭐 몇번에 걸쳐서 메모리 포렌식의 중요성을 강조하고, 그에 따른 Volatility 라는
도구도 소개 했었다. 간간히 단신을 통해서도 그 플러그인들을 몇가지 소개 하긴 했는데.
최근 소개한대로 해당 프로젝트의 문서화가 진행중이며, 그에 따라서 처음 접근 하시는
분들께 도움이 될만한 몇가지 문서들이 나와서 다시 한번 소개 할까 한다.
문서화도 몇번 포스팅은 했지만 정리 한번 해보고 싶어서...

◆ 초딩도 따라하는 Volatility ◆
1. 윈도우 환경을 위한 파이썬부터 Volatility의 설치
2. Volatility의 설치(리눅스)
3. SVN(버젼관리)으로 Volatility 설치 및 연결해두기
4. 주요 Plugin 설치 가이드
5. 각 모듈의 수행 자동화 및 결과 수집, 배치파일
6. Process Mapping 이쁘게 보기?

이정도 메뉴얼이 올라왔는데 설치에 대한 도움도 굉장히 받을 수 있고
배치 파일 같은 경우는 엄청 도움이 될 듯 싶다.
개인적으로 만들어 쓰던 배치 파일 바로 버리고 저걸로 대체-_-;;

뭐 다들 한번씩 이야기 했거나 보셨던 내용이겠지만 아직 접근 안해보신 분들껜
도움이 될듯... 뭐 사실 문서화 프로젝트 페이지만 봐도 되긴 하지만 :)

a slump then blog remodeling...

용기백배 — Fri, 28 Aug 2009 07:17:28 GMT

하나. 블로그 리모델링을 좀 했다.
요새 공허한거 같다. meaningless 하다고 할까...
공부도 안되고 일도 안되고 그렇다고 노는것도 안되고...
바꾸고 나면 기분 전환이라도 될까 싶었는데...

둘. 스킨은 일부러 산뜻한 느낌으로 바까봤다. 적어도 블로그라도 산뜻해야지...
블로그 이름도 바꾸고 싶었는데, 조금 미뤘다 바까야겠다.

셋. 보안 문제가 발생할 줄이야...개인적 내용은 대부분 블라인드 처리 했다고
생각했었는데 바꿔두고 적용버튼을 안눌렀나?-_-;; 그대로 남아 있더라는...
첩보 입수 후 급히 블라인드 적용하였다.

넷. 이전부터 계속 생각하고 있는 문제는, 새로운 정보의 생성이 아닌 다른 곳의
정보를 보여주는 메타 페이지 형식이 되어 간다는 것이다. 물론 포렌식 단신 모음과
내가 올리는 포스트와 같이 있는게 가장 좋겠지만, 그러기엔 너무 시간이 많이
소비되는 것 같다. 좋은 방법을 찾아야 할텐대 적절한 수준을 유지 하도록 해야겠다.
사실 딱히 답이 안떠오른다.

다섯. 역시 요새는 반가사 상태로 살고 있는것 같다...

090825 포렌식 단신 모음

용기백배 — Tue, 25 Aug 2009 09:13:02 GMT

■ 시스템 검사 도구 : RunScanner 1.8.1.0
헛 좋은 툴이다. 좀 지식이 짧아도 이런걸 잘 이용하면 빠르게 대응할 수 있어 좋다.

■ Top 7 Trends in Computer Forensics and eDiscovery
무료 webinar...라이브는 끝났더라고요-_-; 신청하시면 저장된 자료를 보실수 있어요.

■ Q&A: Windows forensics Harlan Carvey
헉 Carvey씨 인터뷰! 고수의 이야기를 들을 수 있는 좋은 기회, 좀 짧은거 같다-_-

■ SQLite for Digital Forensic Practitioners
SQLite browser는 잘 쓰고 있지요 크크크, 명령줄로 바로 접속 가능한지는 몰랐네-_-;;

■ Drive Prophet Promotion
간략한 디스크 프로파일? Drive Prophet, 설문에 참석하면 랜덤으로 뽑아 준다는데...
덥썩 물었다-_-;;발표는 10월말, 꼭 써보고 싶습니다!

■ Utility & Miscellany
너무 길단말이야-_-; 좋은 자료가 많은데 선별할 능력이 안되서 그냥 링크채로...

■ Network Capture Tools and Utilities
위와 마찬가지...-_-킄 얼마전 Network Forensic Puzzle 관련해서 쓸만한 도구에
대한 링크도 많이 보인다 +_+(하지만 나 이미 허접하게 제출했자나...또하긴 귀찮..음?)

■ Papers, Tools, and Such
Carvey씨의 링크 모음, 역시 Vizualization에 큰 관심이 있는듯,
유행을 선도하는 ㅋㅋㅋ 일단 Carvey가 대세임...

■ FTK 3
공장장님께서 벌써 포스팅을...헉-0-
다른건 몰라도 새기능이라고 소개된 아랫 것들 중에서..
* RAM Analysis
* Mac Analysis
* Pornographic Image Identification
마지막 기능이 심히 궁금하다-_-;;;뭐지? 어떻게 구현했을까...
겜방가면 이걸로 꼭 돌려서..음? 뭐...왜?-_-;; 음? 난 그런애 아님..

■ [전달글] 악성코드 시장 상황 설명 - 부제: 돈으로 해결한다.
훅크선장님 포스트 보고 퍼왔다. 가볍게 읽어보면 도움이 될 글

■ 직장을 바꾸거나 직장을 바꾸거나
애자일 이야기 There's always a way out를 보다가 링크 타고 들어가서 새삼 본글..
전에 봤었는데 다시 보니 좀 더 감흥이 일어 퍼왔다. 포렌식관 좀 거리가 있지만
다들 보심 좋을것 같아서... 음 역시 직장을 바꿔야겠어...

p.s: FTK 3 데모 구하면 역시 친구네집에서 테스트 해봐야겠다...음?