도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 메모리 분석 마지막 시간입니다. 끝까지 화이팅하세요. RAM 이미지에서 실행파일 추출하기 volatility procexedump -f RAM.dd -p 3964 -D EXE_DUMPS -p : 어떤 PID를 추출할 것인지 기입합니다. -D : 덤프된 프로세스를 저장할 폴더가 무엇인지 지정합니다. -f : 메모리 이미지를 포함하는 경로와 파일명을 부여합니다. 실행파일이 추출되면, 바이러스 스캐너를 이용하여 악성 프로그램인지 여부를 먼저 검사합니다. www.virustotal.com VirusTotal Analyze suspicious files and URLs to detect types of malware, automatically share them wit..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 메모리 분석 2번째 시간이네요. 모두 화이팅 하세요. RAM 이미지에서 프로세스 목록 추출하기 volatility pslist -f RAM.dd 실행파일이 RAM에서 실행될 때의 메모리 오프셋 뿐만 아니라 PID(Process ID), PPID(Parent Process ID)를 알 수 있으며, 로컬 컴퓨터에서 해당 프로세스가 시작되었던 시간도 확인 가능합니다. 다만, PPID를 갖고 있지 않은 것도 있을 수 있습니다. 그 이유는 부모 프로세스가 이 프로세스를 생겨나게 했다 하더라도, 그 이후에 종료되어 프로세스 목록에 레코드가 없을 수도 있기 때문입니다. volatility pstree -f RAM.dd pslist 명령어를 실행하는 결과와 동일한 결과값을 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘 부터 3~4회에 걸쳐 메모리 포렌식(RAM Forensics)에 대해 설명합니다. 디지털 포렌식에서는 매우 드물기는 하지만 메모리 포렌식의 전개 방법도 알아 두시기 권장합니다. 자, 시작할까요? Volatility Framework 휘발성 메모리(RAM)에서 디지털 아티팩츠를 추출해 줍니다. 자유소프트웨어 재단에서 만들었으며, GNU General Public License를 사용한 파이썬(Python)으로 구현한 Freeware 도구들의 집합이라고 할 수 있습니다. E01/EX01 포맷은 Flat File (.img/DD) 포맷으로 변환해 주어야 합니다. Volatility는 Raw 덤프, Flat file만 지원하므로 EnCase 증거 이미지 포맷은 그것들로..

안녕하세요. 도깬리 포렌식스 입니다. 오랜만에 포스팅 합니다. 오늘은 프리페치 3번째 시간입니다. 오늘도 달려 볼까요... 프리페치 해시값 계산 해시는 호스트 시스템이 XP인지, 그 이후 버전인지 여부에 따라 두가지 방법 중 하나를 선택하여 계산합니다. 또한, 해당 어플리케이션이 일반 어플리케이션인지, 호스팅 어플리케이션인지에 따라 서로 다른 계산법이 적용됩니다. 일반 어플리케이션의 경우 어플리케이션의 경로 정보를 기반으로 하여 해시값을 계산합니다. 호스팅 어플리케이션의 경우 예) MMC.EXE, DLLHOST.EXE, RUNDLL32.EXE 호스팅 어플리케이션은 Dynamic Link Library 형태를 갖는 프로세스를 시작하는데 이용됩니다. SVCHOST.EXE의 경우 Dynamic Link Lib..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 프리페치 분석 2번째 시간입니다. 가마솥 같은 여름 입니다, 여러분 모두 힘 내세요. 프리페치 파일 구조 헤더의 구조는 다음과 같습니다. 프리페치 MFT 메모리 참조 영역(Prefetch MFT memory page reference) MFT 메모리 페이지 참조에 대한 분석이 중요한 이유는 다음과 같습니다. 접근한 페이지에 포함된 정확한 MFT 레코드를 알 수가 없기 때문입니다. 파일과 관련된 영역에 포함된 MFT 레코드가 그 이후에 삭제되어서 다른 파일을 위해 사용되었는지를 알 수가 없기 때문입니다. 파일 참조 영역 유니코드로 암호화된 파일 경로에 대한 null-delimited 리스트로 되어 있습니다. 파일이 어플리케이션의 프리페치 파일에 참조되지 않았다고..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 프리페치 파일에 대해 알아보겠습니다. 혐의자의 컴퓨터 사용이력을 분석할 때 필수적으로 참조하는 시스템 파일입니다. 모두 화이팅 하세요. 가상 및 물리적 메모리 32비트 윈도우 시스템에서는 최대 4GB의 가상 메모리를 사용 할 수 있습니다. 가상 주소 영역은 2개의 파티션으로 나뉩니다. - 디폴트 2GB + 시스템 사용 부분인 2GB 64비트 윈도우 시스템에서는 최대 8TB의 가상 메모리 사용할 수 있습니다. 메모리 페이지 (Memory Pages) 가상 메모리는 ‘페이지(Pages)’라는 단위로 쪼개집니다. 32비트, 64비트 윈도우 시스템 모두 페이지의 크기는 4KB 입니다. 프로세스가 사용하는 메모리 용량이 사용가능한 물리적 RAM 용량을 초과할 경우,..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 암호 분석 마지막 시간입니다. 모두 화이팅 하세요. TureCrypt 볼륨에 대한 패스워드 복구 TureCrypt 암호화 볼륨을 복호화 할 수 있는 프로그램은 현존하지 않습니다. 따라서 우회하여 암호를 획득하는 수 밖에 없습니다. 일반적으로 윈도우 시스템에 존재하는 암호 정보는 다음과 같습니다. - OS 사용자 및 패스워드 - 캐시된 net logon 패스워드 - IE (Internet Explorer) 패스워드와 자동완성 형식 정보 * 이것은 보호된 저장 영역(PSSR)에 존재합니다. PSSR은 사용자마다 다르고, NTUSER.DAT 파일에 \Software\Protected Storage System Provider 안에 포함되어 있습니다. - OutLoo..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 암호분석 세번째 시간이네요. 오늘도 열심히 달려 볼까요? 암호 해독 암호화된 데이터를 해독하는 방법 - 사람의 실수나 취약점을 이용 - 암호화 알고리즘의 취약점을 이용 사람과 암호 조사를 종료하기 이전에 암호화된 데이터를 인지하는 것이 좋습니다. 대부분의 암호는 키값으로 Password나 Passphrase를 이용합니다. 사람은 패스워드와 관련하여 다음과 같은 실수를 하기 마련이므로, 분석시 이를 감안합니다. - 누구나 알 법한 단어, 이름, 문구를 사용함 - 가족, 친구, 애완동물, 취미, 관심사, 환경 등과 연관된 것을 사용함 - 어딘가에 적어 놓거나 암호화 되지 않은 포맷으로 저장하여 두거나, 주위의 누군가에게 알려줌 - 짧은 패스워드를 하나 또는 몇 개..

안녕하세요. 도깬리 포렌식스 입니다. 장마철이라 그런지 계속 비가 내리네요. 오늘은 암호분석 두번째 시간입니다. 모두 화이팅 하세요. 스테가노그래피 기법의 암호화 소프트웨어 식별 Steganography : 사진이나 오디오 파일 등에 암호화된 데이터를 숨기는 기법입니다. 해시분석을 통해 이러한 소프트웨어를 식별 가능합니다. 필요한 해시셋은 다음 사이트에서 구할 수 있습니다. - Hashkeeper - NSRL (National Software Reference Library) 또한 암호화 프로그램과 관련된 키워드를 검색함으로써 식별 가능합니다. 암호화된 파일 암호화 소프트웨어에 대한 지식을 기반으로 분석 대상 시스템에 암호화된 파일이나 데이터가 있는지 확인 가능합니다. PGP의 경우 PGP 암호화 파일의..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 암호 분석에 대하여 설명하고자 합니다. 데이터의 암호화는 디지털 포렌식이 넘어야 할 장벽 가운데 하나입니다. 데이터의 암호화와 그것에 대한 분석 방법을 알아 봅시다. 암호화 대칭키 알고리즘(Symmetric) AES, Triple DES, CASTS, Serpent, Blowfish, Truefish 등이 있습니다. 암호화키와 복호화키가 동일합니다. 비대칭키 알고리즘(Asymmetric) RSA, Diffie-Hellman 등이 있습니다. 암호화키와 복호화키가 서로 다릅니다. TrueCrypt 논리 드라이브로 마운트될 암호화된 볼륨파일을 생성하는 방식입니다. TureCrypt가 단종되고 이후 VeraCrypt가 널리 사용되고 있으나, 여기서는 TrueCry..