도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 케이스 데이터 디렉토리 트리(Case Data Directory Tree)에서의 여러가지 옵션에 대해 살펴 보겠습니다. 모두 화이팅하세요.!!! Case Data Directory Tree Recursively (회귀적) 데이터 보기 '전체를 한 바퀴 돌아 제자리로 와서’ 모든 객체를 보여준다는 의미입니다. [Case Root] 에서 ‘오른쪽 클릭’ 하면 전체 또는 볼륨 단위로 ‘파일’만 열람 가능합니다. 어느 특정 디렉터리에서 ‘오른쪽 클릭’ 하면 해당 디렉터리 아래의 모든 ‘파일’을 열람 가능합니다. Evidence object 에서 ‘오른쪽 클릭’ 보기 [Properties] 보기 기타 메뉴 보기 [Export subtree] 옵션 디렉터리 목록을 ASC..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF로 RAID 시스템을 조사하는 방법과 F-Response를 이용한 이미지 제작법에 대해 알아보겠습니다. RAID 시스템 이미징하기 RAID를 구성하는 각각의 드라이브에 대한 이미지가 있거나, 실제 물리적 RAID 드라이브가 있을 경우, RAID 배열을 재구성할 수 있습니다. XWF는 RAID 0, 5, 6을 지원합니다. RAID 배열 재구성을 위해서는 컨트롤러 제조사, 스트라이프 크기, 패리티 정보 등 관련 정보를 알고 있어야 합니다. RAID의 경우 RAID를 구성하는 하드드라이브 각각을 따로따로 이미지를 만드는 것 보다는 논리적 배열 자체의 이미지를 만드는 것이 효율적입니다. 즉, 라이브 환경에서 이미지를 만들거나, F-Response를 활용하여 이미..

안녕하세요. 도깬리 포렌식스입니다. 오늘도 XWF로 생성하는 이미지에 대해 알아보겠습니다. 모두 화이팅하세요. CD/DVD [Raw CD access] 옵션 체크하면, 헥사값 형태로 보여줍니다. 체크 안하면, 파일시스템을 해석하여 보여줍니다. 메모리 이미지 생성 XWF 만으로는 메모리 전체에 대한 덤프는 불가능합니다. 단, 윈도우 XP의 경우에는 가능하였습니다. 프로세스 단위로 메모리에 대한 검사는 가능합니다. [Tools] --> [Open RAM] F-Response와 함께 사용하게 되면 원격에 있는 시스템의 메모리에 접근하여 이미징도 가능합니다. 메모리 덤프가 이미 있는 경우에는 [Case Data] --> [File] --> [Add Memory Dump] 컨테이너 파일 XWF에서의 ‘논리이미지’..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF로 생성 가능한 다양한 이미지에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 스켈레톤 이미지(Skeleton Image) 생성 XWF 특유의 기능입니다. NTFS의 Sparse file 기술을 활용한 것입니다. 분석자가 이미지 파일에 포함하기 원하는 정확한 비트의 데이터(즉, 섹터)를 이용하여 이미지를 만드는 방식입니다. 파일시스템에 대한 기본정보(파일, 디렉터리 이름의 스냅샷, 레지스트리 하이브)만 가져오고,실제 파일과 디렉터리의 내용은 가져 오지 않습니다. 즉, 조사 현장에서 DRM 해제 등 데이터에 대한 후속처리 작업이 필요한 경우, Skeleton 이미지를 만들어 예비적 획득을 하고, 후속처리된 데이터는 추후 임의제출하도록 유도할 수 있습니다...

안녕하세요. 도깬리 포렌식스입니다. 오늘은 XWF를 이용하여 Live Imaging하는 방법과 XWF 특유의 Reverse Imaging에 대해 알아 봅시다. 모두 화이팅하세요!! 라이브 포렌식 컴퓨터의 전원을 끌 수 없는 상황에서 XWF를 사용하는 방법론에 관한 것 입니다. 예) 상업용 서버, RAID 상황 등 XWF로 라이브 포렌식 방법 XWF를 외장 하드 등에 복사한 후에 조사 대상 컴퓨터에 연결합니다. 동글을 연결합니다. - 드라이버는 설치 불요 이미지를 생성하면서 동시에 분석하기 긴급 상황에서는 이미지를 만들면서 동시에 매체에 대한 분석도 해야할 겁니다. 이미지를 생성하도록 하고, XWF 인스턴스를 하나 더 열어, 새로운 케이스를 만듭니다. 같은 매체를 새로운 케이스에 추가하여 내용을 조사합니다..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 XWF에서 증거이미지를 생성하거나 추가하는 방법에 대해 알아 보겠습니다. 모두 화이팅하세요. 증거파일 생성 및 추가 e01 이미지 매체를 비트 수준에서 복제하는 상용 파일포맷입니다. 32K 단위로 구성된 데이터의 CRC값과, 파일 전체의 해시값이 포함합니다. CRC값과 해시값을 비교하여 복사한 데이터가 중간에 변경되었는지, 데이터가 손상되었는지 알 수 있습니다. - CRC 값이 다르면 --> 데이터 손상 - 해시값이 다르면 --> 데이터 변경 dd 이미지 CRC값과 해시값이 포함되어 있지 않습니다. DD 이미지의 해시값은 별도 계산해야 합니다. 기타 지원하는 이미지 포맷 ISO CD 이미지 VMware의 VMDK 이미지 Virtual PC의 VHD 이미지 개별 ..