도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 AXIOM의 인터넷 아티팩츠 분석기능에 대해 알아 봅니다. 모두 화이팅하세요!! Session Recovery 세션 복원 파일은 마지막으로 열린 페이지나 탭으로 브라우저가 되돌아 가게 해주는 기능을 갖고 있습니다. 다음의 상황에서 활용됩니다. - 시스템 오류가 발생하거나 갑자기 전원이 종료된 경우 - 사용자가 실수로 탭을 닫기하여 다시 열고자 하는 경우 - 브라우저가 닫기를 할 때 여전히 열려 있는 모든 페이지를 다시 열고자 하는 경우 Chrome 크롬의 세션 복원 파일은 다음과 같습니다. Current Session 가장 최근의 브라우징 세션에서 열렸던 탭의 목록을 보여 줍니다. Current Tabs 브라우징 세션이 끝났을 때 열려 있던 탭의 목록을 보여 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM으로 인터넷 아티팩츠 분석하기 2번째 시간입니다. 모두 화이팅하세요!!! History – Mozilla Firefox 데이터 위치는 다음과 같습니다. \Users\\AppData\Roaming\Mozilla\Firefox\Profiles\ places.sqlite 라는 이름으로 SQLite 데이터베이스로 저장됩니다. 다음과 같이 2개의 테이블이 존재합니다. moz_places 고유한 URL 목록이 기록됩니다. moz_historyvisits 방문 일시 정보가 기록됩니다. 위 2개의 테이블은 place_id 를 통해 연결됩니다. Firefox Web History 카테고리 Artifacts에서 보여주는 정보는 다음과 같습니다. - URL - Last ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM에서 인터넷 분석기능에 대해 알아 보겠습니다. AXIOM의 인터넷 분석 기능은 AXIOM의 가장 뛰어난 기능 중에 하나입니다. 자 시작해볼까요... Web Related Artifacts AXIOM은 다음의 웹브라우저 아티팩츠에 대한 분석을 지원합니다. - 360 Safe Browser - Googl Chrome - Mozilla Firefox - Microsoft Edge - Internet Explorer 10-11 - Internet Explorer Legacy versions (version9 and earlier) - Opera - Apple Safari - SBO - XBOX 360 Internet Explorer Browser Artifa..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM으로 이메일, 멀티미디어에 대한 분석과 암호화, 안티 포렌식에 대한 분석기능에 대해 알아 봅니다. 모두 화이팅하세요. Email Artifacts OS X, Windows, Android, iOS 용 이메일 아티팩츠에 대한 분석을 지원합니다. 전통적인 이메일 클라이언트 아티팩츠(POP, IMAP 등) 뿐만 아니라 웹 기반 이메일에 대한 분석도 지원합니다. PST, OST 와 같은 복합 메일 구조의 내용도 분석할 수 있습니다. Email Content 분석 화면의 컬럼은 이메일 클라이언트 마다 자동으로 다르게 보입니다. Email Source Linking Email Message Headers 이메일 헤더에 포함된 정보의 예는 다음과 같습니다. - 이..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 Documents 분석 기능에 대해 알아 보겠습니다. 모두 화이팅하세요. Documents Artifacts 한글 워드프로세서(hwp)도 지원합니다. Document Content Exporting Documents To A Local Drive Document MetaData 문서의 메타 데이터는 파일을 따라 다니고 파일 시스템과는 상관 없습니다. (Document metadta travels with the file and is independent of the file system.) 따라서 메타 데이터는 문서가 스토리지 디바이스에 처음 기록되었을 때가 아니라, 문서가 생성되었던 때에 관한 더 정확한 정보를 제공할 수 있습니다. (Metada..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 Chat 분석기능에 대해 알아보겠습니다. 모두 화이팅하세요. Magnet AXIOM Process Chat Artifacts PC, Mac, 모바일 기기를 구분하지 않고 메신저 데이터를 처리할 수 있습니다. MSN plus, Google Talk 등 알려진 메신저에 대한 처리는 AXIOM process의 CHAT 옵션에 포함되어 있습니다. 그 이외의 채팅 내역은 Dynamic App Finder 기능을 사용하여 해당 메신저에 대한 처리를 Find More Artifacts 섹션에서 새롭게 추가 시켜주어야 합니다. AXIOM process는 300개 이상의 알려진 인터넷 아티팩츠를 지원합니다. 300여개 중 대부분이 인터넷 메신저 또는 채팅 클라이언..

안녕하세요 도깬리 포렌식스입니다. 오늘은 AXIOM에서 Refined Results에 대해 알아 보겠습니다. 모두 화이팅하세요!!! Refined Results 여러 관계된 아티팩츠를 모아서 좀 더 유용하게 그룹으로 묶어서 보여줍니다. 중요한 아티팩츠를 좀 더 신속하게 식별할 수 있습니다. 대부분 웹 브라우징 흔적들이 대상이 됩니다. 물론, 많은 아티팩츠가 Web Related 카테고리로 그룹핑 되나, 좀 더 의미있는 카테고리에 정리된 형태로 보이게 합니다. 예를 들면, Web Related에서는 Chrome, Firefox, Edge 등 각 브라우저 별로 개별적인 브라우징 결과(예: Facebook)를 보여 주나, Refined Results에서는 브라우저 아티팩츠의 URL의 내용을 분석하여 각 브라우..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM에서의 다양한 분석 섹션들에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Analyze Evidence 이미징과 프로세싱 결과를 보여주는 섹션입니다. 케이스에 추가할 증거나 이미지를 추가할 수 있는 마지막 단계입니다. [Acquire Evidence] 옵션을 통해 모든 증거 아이템에 대한 획득을 시작할 수 있습니다. Post Processing 이미 만들어진 케이스에 새로운 증거 아이템을 추가할 수 있습니다. AXIOM Process 또는 AXIOM Examine 에서도 추가 가능합니다. AXIOM Examine --> Process --> [Add new evidence to case] Encrypted Drives 패스워드를 확인한 후 암호화된..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM에서 Processing를 설정하는 옵션과 분석대상 Artifacts를 설정하는 옵션에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Processing Details [Processing Details]섹션에서 사용자는 키워드 또는 해시셋을 추가하여 증거를 처리하면서 동시에 키워드 분석과 해시분석도 가능합니다. [Add Keywords To Search]옵션 키워드 추가는 개별 단어와, 키워드 리스트 형식으로 추가 가능합니다. 키워드 리스트는 텍스트 파일로 만들어 지고, 라인 당 하나의 해시값을 표현합니다. 키워드에 GREP 표현식도 포함할 수 있습니다. [Keyword Search Type] 증거의 어느 영역을 대상으로 키워드 검색을 수행할 것인가..

안녕하세요. 도깬리 포렌식스 입니다. 금일부터는 MAGNET의 AXIOM 프로그램의 여러 기능을 살펴 봅니다. MAGNET은 인터넷 포렌식 전문 도구였던 IEF 시절 부터 윈도우즈 기반 인터넷 히스토리 분석에 중점을 두고 제품을 개발해오다가 2016년 경부터 AXIOM으로 완전히 전환하여 윈도우즈의 다양한 아티팩츠 뿐만 아니라 스마트폰에 대한 분석까지 지원하고 있습니다. AXIOM의 강점은 역시 인터넷 아티팩츠에 대한 강력한 분석기능과 타임라인 기반 분석기능이라고 할 수 있습니다. 이번 시리즈는 이러한 AXIOM에 대한 기능 설명으로서 MAGNET AXIOM Examinations (AX200) 메뉴얼 내용을 소개하고자 합니다. Evidence Sources [Load Evidence] 옵션을 사용하여 ..