본문 바로가기

security/포렌식

(41)
보안감사 및 프라이버시를 위한 USB 장치 사용 히스토리 윈도우를 사용하다보면 많은 사람들이 USB 메모리를 이용하여 정보를 읽고, 쓰곤 합니다. USB의 경우는 윈도우에서 볼 때 하드드라이브로 보여지지만 실제로는 하드로 사용되지 않고 별도의 장치로 분류되어 마운트 됩니다. ( 사용자 입장에서는 동일하겠지만..^^; ) 간혹, 시스템에 누군가 USB로 정보를 빼가진 않았나? 하는 생각에서 감사를 수행하려고 해도 정작 그 내용이 어디에 있는지 알지 못하는 경우가 많습니다. 윈도우에는 USB 정보가 레지스트리에만 남아 있다고 생각하시는 분들도 많구요. 실제로는 로그파일과 레지스트리 두군에 남습니다. 레지스트리에는 아래 경로에 남습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB HKEY_LOCAL_MACHINE\..
보안실습환경을 위한 해킨토시 한번은 해 보겠다고 생각했던 MACOS ... 입니다. 근래에 아이폰 열풍과 더불어 맥과 아이패드까지 관심을 받고 있죠. 저는 보안쪽 관점...특히, 포렌식 관점에서 맥이나 아이폰을 접근해 보려고 하고 있는데 , 문제는 맥은 커녕, 50만명이나 사용한다는 아이폰도 없으니...^^; 아이폰4G를 오매불망 기다리고 있긴한데....눈 빠지겠군요. 암튼..각설하고...예전에 한번 아무생각없이 vmware에 tiger를 설치하다 실패한뒤에 그냥 버려두고.. 레오파드와 스노우레오파트가 나오고 한번 시도해 보고 , 또 방치.. 그냥..맥북이나 하나 살생각을 하고 있었습니다만, 가격이...@@ 요즘 애 병원비에 학비에 부담이 많이 되는지라....맥북사기엔..압박이 있더군요. 그래도 지를까...기왕지를거면 에어를 사자...
MS 오피스 스테가노그라피 오피스 스테가노 그라피 툴을 인터넷 서핑중에 찾았습니다. 대단히 간략한 도구이고 , 사실 큰 매력이 느껴지진 않았습니다. docx.xlsx 등의 MS 오피스 파일에 실행파일등을 포함하여 숨길 수 있는 도구 입니다. xml 형식으로 포맷팅됩니다. 간략한 스테가노그라피 툴....이정도가 가능하다 정도로만 확인해 보셔도 괜찮을 듯 합니다. 다른 스테가노툴과 달리 암호화 기능은 제공하지 않습니다. 아래 문서는 제가 간단히 만든 문건 입니다. 형식은 docx 파일이며 , 내부에 실행파일 하나는 숨겨두었습니다. stego 라는 이름이 앞에 붙은 파일이 제가 스테가노로 숨겨놓은 파일 입니다. 참고로 악성코드는 삽입안했으니 우려 안하셔도 될 듯...^^; 재미 삼아 한번 찾아 보셔도 좋을 것 같습니다.
컴퓨터 포렌식 관련 자료 입니다. Raemarie Schmidt Digital Intelligence, Inc. 라는 곳에서 침해사고 대응을 위한 일부분으로써 컴퓨터 포렌식이라는 제하로 만든 교육용 자료 인듯 합니다. ppt 슬라이드를 유인물 형태로 작성한 문건으로 기본적인 컴퓨터 포렌식에 대한 방법과 이미징 , 쓰기방지 장치 , 포렌식 툴의 사용에 대하여 정리해둔 문건 입니다. 교육이나 세미나용 자료로 활용하시면 좋을 것 같네요.
EnCase eDiskcovery 소개 자료 포렌식 프로그램으로 유명한 가이던스 사의 Encase 제품 라인군 중에 eDiscovery 제품군도 있더군요. 첨부된 파일은 가이던스 소프트웨어와 E-디스커버리에 대한 간략한 소개와 데모 스냅샷이 포함된 문서 입니다. 큰 도움은 안되겠으나, E-디스커버리의 방향을 잡기엔 무난한...보조 자료 이겠네요.
MS의 포렌식 툴 COFFE V 1.1.2 작년에 유출(?)되었다고 알려지는 COFFE 라는 포렌식툴 입니다. 사용해 보면 유출인지, 유포인지 알수 없을 정도로 큰 기능이 없습니다. 다만, 관리자나, 운영자들이 손 쉽게 사용할 수 있도록 제작되었고 , USB 기반으로 툴을 생성해 주므로 그런면에서 유용하다고 할 수 있습니다. OOV에 따른 Live Data Collection 에는 괜찮은 기능을 수행합니다. 그럼..도움되시길... p.s 해당 제품은 원래 13메가 정도로 설치버전이 별도 존재하며 .net framework 3.5 를 설치해야 합니다만, 첨부된 파일은 압축해제 후 바로 사용이 가능하도록 되어진 버전입니다. 하단에 스샷을 첨부 하니..천천히 감상해 보시길..
윈도우 7 BitLocker 도 깨트리는 Passware forensic 9.5 http://www.twitter.com/ostoneo http://www.solaris.co.kr http://www.howtosecurity.pe,kr by 김재벌 Passware 는 http://www.lostpassword.com 에서 판매하는 패스워드 복구 도구 입니다. Passware 제품군은 크게 베이직, 스탠다드 , 프로페셔널 , 엔터프라이 , 포렌식 의 5가지 버전으로 나뉘어 제공 됩니다. 이번에 출시된 포렌식 9.5버전의 경우는 윈도우 7 비트락커 의 패스워드 복구 기능을 가지고 있습니다. 포렌식을 수행하다보면 범죄자가 패스워드로 보호된 파일에 접근하기 어려울 수 있는데 , 이런 경우에 사용이 가능하겠네요. 데모버전을 제공하므로 하단의 링크를 참고하세요. 사용법은 여기 링크를 참고하시기..
Digital Evidence Chain Of Custody Form http://www.twitter.com/ostoneo http://www.solaris.co.kr http://howtosecurity.pe.kr by 김재벌 ADEPTO 라는 포렌식 이미지 도구가 있더군요. 해당 이미지 도구에 대해서는 다음 기회에 전체적으로 포스팅 하도록 하고 ..^^ 디지털 증거 관리를 위한 양식입니다. 증거의 연속성을 위해 관련 조사관들의 이름을 기재하는 방법도 있구요. 실제 디지털증거를 수집하는 군,검,경 같은 수사기관 이외에도 컴퓨터 포렌식 기술을 이용하여 침해사고 대응이나, 감사를 수행하는 기관에 계신 분들은 이런 양식을 하나 만들려고 해서 적절한 샘플 구하기가 좀 번거로울 수 있을 것 같아서 올려 드립니다. 필요하신 분들은 적절히 수정을 가하셔서 사용하시면 될 듯 합니다.