도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Macintosh 파일시스템에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Metadata 이해하기 다른 데이터에 대한 정보를 보여주는 데이터 (data about data)입니다. Physical File Metadata 파일의 실제 내용이 아닌 부분까지 포함하는 어떤 파일에 관련된 정보입니다. 물리적으로 그 파일과 함께 기록될 수 있습니다. (The file metadata may be located with the file physically.) Filesystem Metadata 파일시스템 구조체 내부에 저장된 파일과 관련된 정보 입니다. 예) 생성 및 수정 날짜는 HFS+ filesystem Catalog 파일에 저장되어 있습니다. Tiger (20..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서 Spotlight를 이용한 인덱싱과 검색에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Spotlight를 이용한 인덱싱과 검색 Spotlight는 Mac OS X에 내장되어 있는 가장 강력하고 빠른 검색 도구입니다. Mac에서 생성되는 대부분의 사용자 파일은 Spotlight에 의해 색인될 수 있습니다. 따라서 Spotlight는 볼륨에 있는 증거를 검색하기 위한 가장 좋은 방법이다. 파일이 생성, 삭제, 이동, 복사 또는 저장될 때마다 Spotlight는 이를 모니터링하고 이러한 변화를 Index에 기록합니다. Spotlight는 파일의 메타 데이터와 파일의 내용 모두 색인합니다. PALADIN을 이용한 이미지 작성 PALADIN은 Ubuntu..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서의 Single User Mode와 휘발성 데이터 조사하기에 대해 알아봅니다. 모두 화이팅 하세요!!! Single User Mode 컴퓨터에서 날짜와 시간을 획득하는 것은 조사과정에서 매우 중요한 절차입니다. 조사자는 시스템 시각이 정확한 것인지 먼저 확인해야 합니다. 조사는 미디어에 변경이 일어나지 않는 방식으로 이루어 져야 합니다. PowerPC Macs에서는 Open Firmware Mode(Command + Option + O + F)로 진입하는 방식으로 진행되기도 합니다. Intel Macs의 경우에는 Open Firmware Mode를 이용하지 않기 때문에 Single User Mode를 사용하여야 합니다. Single User Mode를..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 동작중인 Mac 조사하기 두번째 시간입니다. 모두 화이팅 하세요!!! Virtual Machines 확인하기 모니터 스크린, 연결된 미디어, 디바이스, 케이블과 주변장치를 채증해야 합니다. Mac에서 다양한 운영체제를 구동할 수 있고, 3rd 파티 가상 머신을 이용하여 구동할 수도 있습니다. 대부분의 가상머신 어플리케이션은 풀 스크린에서 동작하게 할 수 있습니다. “Spaces” 다중 가상 데스크탑(multiple virtual desktops)에 대한 Mac OS X 버전입니다 활성화된 Mission Control이 gesture, Control + left/right 또는 F3 키를 이용하여 확인됩니다. Mounted Volumes 확인하기 마운트된 볼륨을..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 동작중인 Mac 에 대한 포렌식 방법론을 알아보겠습니다. 모두 화이팅하세요!!! Restrict Access 컴퓨터에 대한 물리적인 접근을 제한하도록 조치해야 합니다. 현장에서 Mac 만을 담당할 전문 포렌식 분석관을 지명하는 것이 좋습니다. 물론 다른 팀원들도 도움을 줄 수 있으나, Chain-of-custody와 디지털 증거의 보존을 위해서는 한 명의 전문가가 전담하는 것이 더 바람직할 수 있습니다. Destructive Processes 조사과정에서는 증거 인멸 등에 대한 의심을 갖고 명백한 단서를 찾아 보아야 합니다. (Look for any obvious signs of destructive processes) Mac에 내장되어 있는 것이 증거를 인멸하..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Macintosh 보안 중 FileVault와 Keychain 등에 대해 알아보겠습니다. 모두 화이팅하세요!!! FileVault (초기 versions) – Master Password Master Password를 이용하면 사용자가 잃어 버린 로그인 패스워드를 재설정할 수 있게 됩니다. Master Password는 기본 설정되어 있지 않습니다. FileVault를 최초 활성화 할 때 Master Password가 필요하였습니다. Admin 사용자가 되어 Master Password를 아는 것이 Memory dumps, brute-force(무차별 공격) 또는 dictionary attack(사전 공격)을 이용하는 것 이외에 FileVault를 해제하기 위..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 Macintosh 보안에 대하여 알아보겠습니다. 모두 화이팅 하세요 !!! Users & Root User OS X에는 4개 유형의 사용자가 있습니다. - Root, Admin, Standard, Guest 기본적으로 Root 사용자는 Mac OS X에서 이용 불가능합니다. Root 사용자는 다음의 경로에서 찾을 수 있는 Directory Utility를 통해서 이용 가능합니다. /System/Library/CoreServices /System Preferences/Users & Groups/Network Account Server/Open Directory Utility/Edit/Enable Root User 인증을 받은 후에는 Edit 메뉴 아래에서 Ena..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Macintosh의 보안 기능에 대해 알아보겠습니다. 모두 화이팅하세요!!! 설치디스크(Installation Disks)와 복구모드(Recovery Mode) 설치 디스크는 사소해 보이지만 보안 기능을 무력화 시킬 수 있는 키가 될 수도 있습니다. Snow Leopard (v10.6)까지만 설치 디스크를 제공하고 있습니다. Lion 부터 Recovery Partition과 Intel based recovery 기술이 도입되었습니다. Mountain Lion (v10.8)부터 인터넷으로 다운로드 하여 설치하는 것 만을 허용하였습니다. 어떤 측면에서, Recovery Partition은 설치 디스크와 비슷하게 작동합니다. 사용자들은 앱 스토어에서 다운로드한 설치..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 윈도우 운영체제를 Mac에서 사용하기 위한 Boot Camp에 대해 알아보겠습니다. 모두 화이팅하세요!!! Intel Technology and Boot Camp Extensible Firmware Interface (EFI) PC-BIOS에 대한 인텔의 대체기술입니다. Apple도 Open Firmware의 대안으로 EFI를 채택하게 됩니다. 운영체제와 platform firmware(즉, 하드웨어) 간의 인터페이스 역할을 수행하는 기술입니다. GUID Partition Table (GPT) EFI 기술의 일부입니다. Intel Mac을 위해 Power PC에 적용하였던 Apple Partition Map(APM)을 대체할 목적으로 설계되었습니다. 물리적 하드..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서 명령어 기반 조사방법을 알아 봅시다. 모두 화이팅하세요!!! 장점 - Additional Options 제공 일부 옵션은 Command line에서만 가능한 것도 있습니다. 일부 어플리케이션은 Command line에서 추가적인 옵션을 제공하기도 합니다. (예: Disk Utilities, Spotlight) - Finder Limitations 보완 GUI Finder는 전체 파일시스템에 대한 사용자의 접근을 제한합니다. GUI Finder에서는 숨겨진 파일이 보이지 않으나, Command Line Finder에서는 볼 수 있습니다. - Root (sudo) 접근 Sudo 명령어를 통해서 System user 또는 Root가 될 수 있습니다. - ..