도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화학습 마지막 시간입니다. 어제부터 장마가 시작되었나 봅니다. 하루 종일 비가 내려 집안 구석구석이 물을 먹어 무거워 보이네요. 하지만 오늘도 모두 힘내요. UserAssist 데이터 Windows XP 이후 시스템은 사용자의 NTUSER.DAT에 아래의 키를 포함합니다. - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 사용자의 프로그램 사용 기록을 저장하고 있습니다. UserAssist 키에 저장된 어플리케이션 경로는 기본적으로 ROT13으로 인코딩(난독화, obfuscation)되어 있습니다. 이것은 일종의 대입 암호(substitution cipher)입니다. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화학습 3번째 시간입니다. 모두 화이팅하세요. 컴퓨터 관련 추가적인 레지스트리 설정 정보 NTRegistry\Security\Policy\PolAcDmN\Default 네트워크상의 컴퓨터 호스트 이름을 확인할 수 있습니다. 네트워크 상에서 해당 컴퓨터를 식별하는 friendly name 입니다. NTRegistry\Security\Policy\PolAcDmS\Default 네트워크상의 로컬 컴퓨터의 SID를 확인할 수 있습니다. NTRegistry\Security\Policy\PolPrDmN\Default 컴퓨터에 대한 Primary Domain을 확인할 수 있습니다. 해당 컴퓨터가 네트워크에 연결하여 인증 받는 도메인에 대한 friendl..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 레지스트리 심화 분석 두 번째 시간입니다. 한 주가 시작되는 월요일, 몸이 무겁겠지만 활기찬 하루가 되길 바래요. 레지스트리 엔트리 보안 정보 (Security Info) SAM, SECURITY 에서 보안 관련 정보를 확인 가능합니다. SAM 에는 사용자와 그룹에 대한 정보를 포함합니다 기본적으로 2개의 내장된 계정(Built-in account)이 존재합니다. - 로컬 관리자 계정(Administrator) - 게스트 계정(Guest) 모든 로컬 계정은 SAM에 저장됩니다. 사용자 계정과 SID(Security Identifier)간의 매핑 여부를 확인해야 합니다. SID 정보를 통해 워크스테이션 상의 도메인 계정을 확인 가능합니다. SAM 사용자 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 윈도우 레지스트리(Windows Registry)에 대하여 심화 학습을 하겠습니다. 윈도우 포렌식에서 가장 어려운 아티팩츠 중에 하나가 바로 윈도우 레지스트리입니다. 나에게 어려우면 다른 사람도 당연히 어려운 법 !!! 자신감을 갖고 시작해볼까요? 윈도우 레지스트리 개요 레지스트리는 2개의 상태로 존재합니다. 온라인 레지스트리(Online Registry) 시스템이 작동하고 있는 동안에만 볼 수 있습니다. 오프라인 레지스트리 파일(Offline Registry Files) 시스템이 꺼져 있을 때의 레지스트리 상태를 보여줍니다. 온라인 레지스트리 조사하기 Start --> Run --> REGEDIT 레지스트리 엔트리를 변경 또는 삭제할 경우 OS에 치명적인..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 이벤트 로그 분석 두번째 시간입니다. 너무나 방대한 이벤트 로그 !!! 그것의 동작메커니즘과 분석방법만 알면 분석은 의외로 단순하답니다. 직접 실험을 통해 분석의 노하우를 쌓으면 당신도 전문가가 될 수 있어요. EnCase를 사용하여 이벤트 로그 보기 EP --> Modules --> Windows Event Log Parser Records 탭에서 결과를 확인합니다. [Go to file] 옵션을 사용하면, 특정 이벤트 레코드를 포함하고 있는 EVT/EVTX 파일을 연동하여 조사 가능합니다. Case Analyzer를 사용하여 이벤트 로그 분석하기 Tools --> Case Analyzer Constraint 옵션을 사용하여 검색 범위를 조절할 수 있..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 포렌식 분석의 필수 코스인 윈도우 이벤트 로그에 대해 알아 보겠습니다. 혐의자의 컴퓨터 사용행위를 추적하기 위한 핵심 증거 중에 하나입니다. 자, 시작해볼까요? 윈도우 이벤트 로그(Windows Event Log) 분석 EVT 형식의 로그 파일 윈도우 Vista 출시 전의 이벤트 로그 파일 포맷입니다. 저장 위치는 \Windows\System32\config\ 입니다. 주요 이벤트 로그 System log : SysEvent.EVT 시스템 구성요소의 장애 관련 기록입니다. Application log : AppEvent.EVT 어플리케이션의 작동에 관한 기록입니다. Security log : SecEvent.EVT 로그인, 로그오프 관련 기록, 접근 권..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 EnCase로 RAID 시스템을 분석하는 방법에 대해 알아 보겠습니다. 모두 화이팅 하세요. 하드웨어 RIAD를 증거 이미지로 추가하기 Evidence 탭의 Table view에서 우측 드롭다운 메뉴 --> Create Disk Configuration을 선택합니다. Disk Configuration 상자에서 3가지 옵션을 선택 합니다. Component Device 각 개별 디스크 드라이브의 올바른 순서를 정해 줍니다. 이러한 순서에 대한 설정은 하드웨어 RAID에만 국한되는 것이 아닙니다. 즉, 소프트웨어 RAID의 경우에는 신경 쓰지 않아도 됩니다. Disk Configuration RAID의 종류를 설정해 줍니다. RAID 5가 가장 흔히 사용되지만, ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 RAID 디스크에 대해 알아 봅시다. 사실 RAID 디스크는 현장에서 물리적으로 획득하는 경우는 거의 없고, 논리적으로 데이터를 획득하기 마련이죠. RAID에 대한 간단한 이론적 지식과 EnCase에서는 어떤 방식으로 처리하는지 살펴봅니다. RAID 설정 및 스트라이프 셋(Stripe Sets) 하드웨어적으로 또는 소프트웨어적으로 구현 가능한 기술입니다. 여러 개의 작은 디스크 드라이브를 하나의 큰 디스크 드라이브처럼 보이게 배열(array)을 결합하는 기술입니다. 1987년 캘리포니아 대학 버클리 분교의 Patterson, Gibson, Katz가 논문으로 소개한 기술입니다. RAID 종류 RAID Level 0 : Block Striping 데이터를 Str..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Block Hash 두번 째 시간입니다. 모두 화이팅하세요. Block Hash 실습 Block Hash map file 만들기 (Block 기반 해시셋 만들기) Block Hash 분석으로 파일 복구하기 Block 기반 Hash 분석은 어떤 상황에서 사용되어야 하는가? 이 기법은 비할당 영역 등 삭제된 데이터를 확인하기 위한 것입니다. 정상적으로 존재하는 또는 복구된 데이터를 대상으로 검색하는 기법이 아닙니다. Map files에서 읽혀진 해시값을 기반으로 마스터 해시 리스트(Master Hash List, 위에서 Hash List.txt)가 생성됩니다. 파일의 마지막 Block의 전체 영역을 차지하지 않는 각 파일의 끝 부분(꼬리 부분)의 길이와 해시를 저..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 우리가 일반적으로 알고 있는 파일 헤더와 푸터를 이용한 파일 기반이 아닌 섹터나 클러스터를 기반으로 하는 복구기술에 대해 살펴보고자 합니다. 실무적으로 사용할 일이 극히 드물기는 하지만 알아 두면 좋을 것 같습니다. 이제 시작할까요? Block 기반의 해시 분석을 통한 파일 복구 논리적 파일 단위가 아니라, 섹터 또는 클러스터 단위로 해시분석을 통해 파일을 복구하는 기술입니다. 해시값 메시지 다이제스트(Message digest) 라고도 불립니다. 가변 길이 입력 데이터 스트림(Variable-length input data stream)을 사용하여 계산하는 기술입니다. 고정된 길이의 digit(16진법)으로 보여줍니다. 일방향 수학적 알고리즘을 사용합니다. ..