본문 바로가기

security/포렌식

(41)
comae.io 메모리 분석 도구 모음 ( dumpit ) 포함 안녕하세요 테크넷 마스터 김재벌 입니다..^^ 침해사고 대응을 위해서 다양한 도구가 활용되는데 , 그중에 메모리 포렌식을 위해 메모리 덤프는 필수적이죠. 그중에 널리 사용되는것이 moonsols 의 dumpit 인데 , 어느날 찾아보니 , 사이트가 리뉴얼 되고 툴 구하는게 어려워져서 저도 가지고 있는 버전만 활용했었습니다. 그런데 , moonsols 가 아래 사이트로 변경되고 툴도 세트 형태로 나오더군요. https://my.comae.io/login 해당 도구를 다운 받기 위해서는 회사 메일이 있어야만 가능하고 , 인증 메일로만 로그인도 가능해서 공부하시는 분들이 활용하기에는 어려워 보여서 아예 다운 받아서 공유해 둡니다. dumpit 이외에도 Bin2DMP.exe , DMP2Bin.exe , Hibr..
메모리 카빙 및 패킷 분석 보호되어 있는 글입니다.
plaso 를 이용한 log 분석 ( log2timeline ) 1. 설치 https://github.com/log2timeline/plaso/wiki/Windows-Packaged-Release - python 2.7 - vcredist_x86.exe 2. Download.zip https://github.com/log2timeline/plaso test_data 폴더에 다양한 실습 파일 존재 3. 실습 https://github.com/log2timeline/plaso/wiki/Using-log2timeline log2timeline.exe test.plaso registry_test.dd psort -a -q test.plaso
timestomp(타임스톰프)-GUI 입니다. 안녕하세요 테크넷 마스터 김재벌 입니다.포렌식에서 중요한 타임라인 정보 수집시에 MFT내에 존재하는 $STANDARD TIME ATTRIBUTE 속성의 시간 정보를 변경할 수 있는 도구인 timestomp 의 GUI 버전 입니다. 포렌식의 유명한 분석가이자 저자인 할랜카비의 책에도 timestomp.exe (CLI) 도구 를 구하는게 어려웠다고 하네요.찾아볼려다가 귀찮아서...^^학습용이니 GUI 버전으로도 충분할 것 같습니다. 그럼...^^
안티포렌식 slacker 를 이용한 슬랙 공간 활용 안녕하세요 테크넷 마스터 김재벌 입니다. 좀 고전(?)이라면 고전이 도구인 slacker.exe 입니다.해당 파일은 암호가 걸려 있습니다. ( 악성코드로 탐지 됨. - 크롬 ) slacker를 이용하여 슬랙 공간을 조작할 수 있는데 , 자료는 제법 많은데 툴 다운로드 링크가 많이 끊어졌네요.그래서 , 찾아서 다운로드 링크해 둡니다. 해당 매뉴얼은 http://www.jbbrowning.com/sandbox/slacker_how_to_101.pdf 여기에서 구했습니다. 동일 합니다.
Belka Live Memeory Capture Tool Belka 소프트라는 업체에서 만든 라이브 메모리 캡쳐 도구가 공개 되었습니다. 해당 도구는 무료 입니다. http://forensic.belkasoft.com/en/ram/download.asp 해당 사이트에 E-mail 을 등록하고 나면 다운 받을 수 있으며, 해당 프로그램은 32비트와 64비트 두개 버전으로 나뉘어 집니다. 다운로드 압축을 해제하면 실행파일과 드라이버 파일(.sys) 로 된 파일을 볼수 있습니다. 해당 실행 파일을 실행하면 다음과 같은 화면을 볼 수 있습니다. 기존에 공개된 다른 라이브 메모리 캡쳐 도구와의 차별성은 보여지지 않습니다..ㅡ,.ㅡ;그래도 생각보다는 안정적으로 캡쳐가 진행되고 , 수행됩니다.일부 라이브 캡쳐 도구들이 너무 많은 기능을 제공하기 위해서 무겁거나 , 불안정스..
페이스북 패스워드 암호 찾기 ( 디크립터 ) 몇개월전에 보고 사용해 본 도구 인데 , 지금은 안되는건지, 아직 제대로 검증 못해 봤습니다. 시스템 상에서 페이스북 의 아이디와 패스워드를 보여주는 도구 입니다. 아래 링크에서 직접 최신 버전으로 다운로드도 가능하고 , 해당 데모도 동영상으로 제공 됩니다. 참고하시면 될 것 같네요. http://passwordforensics.com/download-file.php?id=2222 http://www.securityxploded.com/facebookpassworddecryptor.php#Features
네트워크 포렌식 도구 NetWitness Investigator 9.x 네트워크 포렌식하면 포괄적으로 네트워크에 대한 패킷 분석이 기본이 됩니다. 제가 소개할 NetWitness Investigator 는 네트워크 포렌식 도구로, 네트워크 패킷에서 잠재적 리스크를 찾아주고 분석 해주는 유용한 도구 입니다. 해당 도구는 상용이며, 해당 사이트에서 무료 버전을 제공하고 있어 일반적인 기능을 테스트해 보기엔 충분합니다. 프로그램의 다운로드는 http://www.netwitness.com/products-services/investigator-freeware 에서 가능합니다. 제가 테스트한 버전은 9.5 버전으로 가장 최신 버전입니다. 해당 제품은 2G 이상의 cpu 와 메모리 1G ( 2G 권장) 이며 xp 이상의 윈도우 OS에서 구동됩니다. 상업용버전은 리눅스도 지원합니다. 아..