본문 바로가기

security/포렌식

(43)
하드 디스크 완전 삭제 DBAN 활용가이드 데일리시큐의 길민권대표님의 요청으로 데일리시큐의 필진으로 활동하고 있습니다. 지난번에 한가지 글을 기고 하고 , 두번째 글 입니다. 해당 내용을 PDF 로 만들어 배포합니다. DBAN 이라는 오픈소스 데이터 완전삭제 도구에 대한 소개 와 활용가이드 입니다. 개인정보보호에 많은 도움이 되길 바랍니다..^^
기본 컴퓨터 범죄 조사 가이드 기본 컴퓨터 범죄 조사 가이드 Tom Cloward and Frank Simorjay 한 눈에 보기: Windows에 대한 기본적인 컴퓨터 조사 가이드 맬웨어 제거 시작 키트 Windows PE로 조사 키트 만들기 범죄 조사 분석을 위한 정보 보존 악의적인 사용자가 컴퓨터를 이용하여 불법 행위를 자행하는 방법은 시스템 해킹, 거래 비밀 정보 누출, 새 바이러스 배포, 피싱 메시지를 사용한 개인 정보 절취 등 셀 수 없이 많습니다. 게다가 새로운 악용 사례와 방법이 끊임없이 출현하고 있습니다. 그러나 컴퓨터를 활용하여 이러한 행위를 조사하는 방법에 대해서는 많이 알려진 바가 없습니다. 고도의 훈련을 받은 전문가를 동원하여 값비싼 도구와 복잡한 기술을 사용해야 하는 조사도 있지만 보다 쉽고 저렴한 방법을 통..
The Desktop Files PsTools 입문서 예전에 보다 정리가 잘된 한글 링크를 알고 있었는데 , 어디 있는지 모르겠네요..@@ 요즘은 머리가 바보가 되서...ㅜㅜ 중요자료 아무대나 놓고 까먹는다는...ㅠㅠ 암튼....침해사고 대응시에 Live Data Collection 을 위해서 많이 사용되는 pstools 의 내용이 잘 정리된 문건이 있어서 올려 둡니다. The Desktop Files PsTools 입문서 Wes Miller 이 기사의 코드 다운로드: MillerTheDesktopFiles2007_03.exe (150KB) 작년까지 필자가 근무했던 Winternals Software는 2006년 7월에 Microsoft에 인수되었습니다. Winternals는 상용 소프트웨어를 판매하는 회사였지만 공동 설립자 Mark Russinovich와..
*nix Live Forensics 자료 검색하다가 우연히 좋은 정보를 보게 되었습니다. 출처는 아래와 같습니다. 출처 : http://www.forensic-proof.com/ 그리고 , http://bhami.com/rosetta.html#hardware 에 *nix 관련 하여 정리도 잘되어 있습니다. 해당 저작권은 저작권자에게 있으며 , 문제시 삭제 합니다. 정리하시느라 고생한 것 같은데...감사히..잘 보겠습니다@@ *nix Live Forensics 디지털 포렌식 조사에서 조사하고자 하는 대상(디지털기기)이 활성 상태인 경우, 초기에는 바로 전원을 종료한 후 비활성 데이터를 수집했다. 하지만 이 경우 램(RAM)과 같은 휘발성 메모리에 저장된 데이터는 사라지기 때문에 조사하기 어렵다. 휘발성 메모리에서 유지하는 데이터는 비교적 사..
윈도우 7에서의 레지스트리 정보 분석 윈도우 7은 기존의 xp 와 달리 변경된 레지스트리 정보가 있습니다. 침해사고 대응 및 포렌식 관점에서 정리해야 하는 내용들을 간략하게 정리해 두었습니다. 설명: 윈도우 익스플로러에서 최근 연 파일 위치: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent 설명: 네트워크 바로가기 위치: C:\Users\\AppData\Roaming\Microsoft\Windows\Network Shortcuts 설명: "실행"에서 실행되었던 최근 프로그램 위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 설명: 최근 열렸거나 저장된 파일 위치: HKEY_CURRENT_USER\Softwa..
침해사고 대응을 위한 포렌식 시스템 구성 일반적으로 전문적인 법적증거 수집을 위한 Encase 와 같은 도구가 아닌, 침해사고 대응을 위한 시스템으로 리눅스 시스템을 선호합니다. ( : -)물론 솔라리스 시스템의 경우도 동일하게 사용할 수 있습니다. 라이브 포렌식 툴킷의 경우 리눅스 시스템이 더욱 더 선호 되고 있는데 , 현존하는 파일시스템의 거의 대부분 지원하기 때문입니다. 이는 파일시스템을 다양하게 지원하는 리눅스만의 강점이고 할 수 있습니다. ( 별도의 상용 어플리케이션을 사용하지 않은 상태에서 OS 레벨에서 지원하는 파일시스템은 리눅스가 가장 강점을 가집니다.) 암튼...그래서 침해사고 대응을 위한 조사관 시스템을 구성하려고 합니다. ( 솔라리스와 리눅스 동일) 그 때는 하단과 같이 작업하면 됩니다. ====================..
PsLogList 를 이용한 윈도우 시스템 침해사고 대응 및 디지털 포렌식을 위한 이벤트 덤프 활용 본 문서는 기본적인 내용과 옵션 등의 기본적인 사용법만 다루고 있습니다. 본 문서는 아크로뱃 9 이상에서 열립니다. 본 문서는 저작권과 관련한 몇가지 제약이 있으니 , 필히 지켜주시기 바랍니다.
포렌식을 위한 윈도우 파일 시그니쳐 (techpathways) Pro Dicover 라는 포렌식 도구로 유명한 테크패스웨이즈(techpathways)에서 작성한 문건으로 윈도우 시스템에서 종종사용하는 파일들의 초기 20바이드를 시그니쳐 (또는 매직넘버 ) 로 수집해 놓은 문건입니다. 여기에서 제가 생각하기에 포렌식에 증거수집으로 가치가 있을 만한 파일들만 강조하여 표기해 두었습니다. 원본 내용을 참고하실 분들은 http://toorcon.techpathways.com/uploads/headersig.txt 를 방문하시면 됩니다. ## headersig.txt ## ProDiscover DFT Header Mismatch Configuration File ## Date 9/15/03 http://www.ProDiscover.com ## ## On Windows sys..