kkamagi.story

비트로커(BitLocker)암호화 개요 Bitlocker는 Windows vista부터 자체적으로 지원하는 파일시스템 암호화 기술(EFS)를 뜻한다. AES 128-bit 암호를 사용하여 볼륨을 암호화 하고 복구시 사용자애게 암호화 당시 설정했던 패스워드 혹은 복구 키를 요구한다. 복구키의 경우 MS 계정, USB드라이브, 파일 그리고 직접 프린트하여 물리적으로 존재하는 종이에 기록 할 수 있다. Bitlocker의 암호화 해제 패스워드는 기록되지 않지만 대신 복구 키가 사용자의 PC에 저장되는데 복구키가 저장된 파일을 열람하거나 검색 기능으로 해당 파일을 검색할 경우 ID 키와 복구 키 등이 메모리에 적재되며 해당 메모리를 분석하면 암호화 해제에 필요한 정보가 획득이 가능하다. 참고 : (m.blog...

+ USB 메모리 사용 흔적 삭제하기 요즘은 너무나 쉽게 볼 수 있는 USB 메모리. 이 메모리를 사용하면 PC에는 USB메모리 사용 흔적이 남게 됩니다. 보안상의 이유 등으로 이런 흔적을 삭제해야 하거나, 마찬가지로 보안상의 이유로 다른 USB 메모리가 사용된 적은 없는지 알아보는 방법에 대해 얘기 해 보도록 하죠. 이는, MP3 Player, 외장형 하드디스크등 메모리로 잡히는 모든 USB장치에 적용 됩니다. 1. 레지스트리 첫번째로 USB메모리 사용 흔적이 기록되는 곳은 바로 레지스트리 입니다. 레지스트리 에디터 실행 방법 정도는 다들 아시리라 믿고. (시작버튼 -> 실행 -> "regedit" 입력 후 엔터) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\..

1) 디스크포렌식 분석 기초 - 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요 - 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음 - 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력 디지털포렌식2급 필기 스터디 1일차 메모 -------------1장 디지털포렌식 의의-------------- 디지털포렌식 5대원칙 -영어로도 나올 수 있음 적법성 재현성 신속성 연계보관성 무결성 (해시값) 디지털포렌식 수행과정 쓰기 방지 -> 사본 -> 원본은 봉인 조금이라도..

레지스트리 구성 HKEY CLASS ROOT 파일연관성과 COM정보 HKEY LOCAL MACHINE 시스템의 하드웨어/소프트웨어 정보 HKEY CURRENT USER 현재 시스템 로그인 된 사용자 정보 HKEY USERS 모든 사용자 정보 HKEY CURRENT CONFIG 시스템 시작 시 사용되는 하드웨어정보 실습 - REGA 도구 Windows Registry Analysis - REGA를 이용하여 EC3 Challenge 실습 1. 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사 -> REGA 분석 시 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다. default, NTUSER.DAT, SAM, SECURITY, softwar..

케이스 생성 증거물 등록 Process 작업 키워드 검색 1) 디스크 전체 엔트리를 대상으로 검색할 키워드를 작성 - 키워드 검색을 수행할 엔트리 선택 - 검색할 키워드를 작성 - 검색옵션 - Search Options 설명 - 저자 키워드 검색 분석 옵션 시그니처(signature) 분석 Options 테이블 설명 해쉬 라이브러리(Hash Library) 분석 ----------------------------------------------------------------------------------------------------------------------------------- 최근 공식사이트 확인 결과, Encase 버전이 20.x 형식으로 변경되었다. 현재 20.3 버전 Release..

디지털포렌식 분석 도구 중 X ways 사의 WinHex 라는 프로그램이 있다. X ways 포렌식 도구 중 하나이며, 공식사이트를 들어가니 아래와 같이 여러 도구들이 있다. 조금 찾아보니 X way forensic 관련하여 2015년도에 발행된 도서도 있다. 지금 사기엔 아까운데 중고로 알아봐야겠다. Hex Editor와는 달리 여러 포렌식적인 기능들이 있으며, 유료버전이 존재해서 일정 크기 이상의 파일은 저장이 불가능하다. 구글 검색을 잘하면 full version을 찾을 수 있다고 한다. 필자는 못찾았다..

1. 케이스 생성 케이스 정보 입력 조사관 정보 Data Source 추가 2. 프로세싱 - 프로세싱 모듈 선택 Recent Activity : Hash Lookup File Type Identification Extension Mismatch Detector Embedded File Extractor Picture Analyzer Keyword Search Email Parser Encrpytion Detection Interesting Files Identifier Central Repository PhotoRec Carver Virtual Machine Extractor Data Source Integrity Drone Analyzer Plaso IOS Analyzer (iLEAPP) Android..

대학원에서 동기 분이 속성?으로 했던 강의 메모인데.. 급하게 메모하느라 무슨 내용인지 정리가 너무 안되어 있다. 우선 비공개.. 1. 복습 * 디스크복구관련참고 - donerdrives : 디스크 내부 부품판매업체 - 국내는 명정보기술 - hddsurgery 헤드암을 들어내는 기술 별도의 부품을 사용해 헤드끼리 붙지 않게 하기 위함 * 이미징 1:1 이미징 1:2 이미징 - 마스터카피 - 워킹카피 : 원본자체가 손상이 되어버리면 실제 원본으로 되돌릴 수 없기 떄문에 실제 원본에 대한 손상을 최대한 방지하기 위하여 최초 마스터카피 1, 워킹카피 1 을 유지한 상태에서 워킹카피를 통해 분석 하는 도중 손상되면 마스터카피를 통해 또다른 워킹카피를 이미지하여 분석을 진행한다. -> 실제 이미징장비를 통해 실습..

it.chosun.com/site/data/html_dir/2016/10/26/2016102685005.html

디지털 증거의 법적 허용성 판례 Frye 판례와 Daubert 판례 1. 개요 법정에서 과학적 증거를 허용성을 인정하기 위해 반드시 성립되어야 하는 과학적 법칙 및 그것을 이용한 검사기술의 타당성에 대하여 서로 다른 입장이 존재한다. 2. 미국 Frye v. United States 293 F. 1013 (D.C. Cir. 1923) 미국은 Frye 사건에서 일명 ‘거짓말 탐지기’수사를 도입하였다. 심혈압을 측정하여 피고인의 증언시 심리적 변화를 감정하였는데, 이를 통해 피고인의 무죄 주장이 진실함을 보이려했다. 그러나 연방항소법원은 과학적 원리나 발견이 실험의 단계인 것과, 확증의 단계인 것을 명확히 구분하기 어렵다는 이유로 거짓말탐지기 검사결과에 대한 허용성을 부인하였다. 즉, 증거능력을 부여하려면 ..