kkamagi.story

디지털포렌식 과정에서 파일의 해쉬값을 통한 무결성 검증은 필수적이다. 파워쉘 명령어를 통해서도 확인이 가능한 방법이 있어 참고용으로 좋을 것 같다. 스크립트 작성시 활용하는 등의 방법도 있을 것 같다.

이번에 AccessData에서 주관하는 자격증인 ACE를 취득하게 되었는데, 생에 최초 포렌식 자격증이기도 하고, 포스팅으로 남기면 좋을 것 같아 글을 올린다. (참고로 2번에 합격하였다. 100USD * 2 ...아무정보도 없는 상태에서 1번만에 합격하는 것은 무리다.)또한 해외사이트에 떠도는 Dump 파일도 구매하였는데 최신이 아니며 정답률은 10~20% 정도이다. 속지마세요 ACE 합격 후에 해당 Dump 사이트에 이메일로 항의하여 겨우겨우 환불받았다.. (주의할 점이 정확한 점수나 합격 시점에 대한 시각 등을 요구해온다. 필자는 ACE에 이메일로 문의해서 해당 정보를 받았고 이 정보를 koreadump에 다시 첨부해서 환불을 받았다) 우선 여기저기 블로그 글을 찾아봤는데 솔직히 참고할 만한 마땅한..

디지털 증거의 법적 허용성 판례 Frye 판례와 Daubert 판례 1. 개요 법정에서 과학적 증거를 허용성을 인정하기 위해 반드시 성립되어야 하는 과학적 법칙 및 그것을 이용한 검사기술의 타당성에 대하여 서로 다른 입장이 존재한다. 2. 미국 Frye v. United States 293 F. 1013 (D.C. Cir. 1923) 미국은 Frye 사건에서 일명 ‘거짓말 탐지기’수사를 도입하였다. 심혈압을 측정하여 피고인의 증언시 심리적 변화를 감정하였는데, 이를 통해 피고인의 무죄 주장이 진실함을 보이려했다. 그러나 연방항소법원은 과학적 원리나 발견이 실험의 단계인 것과, 확증의 단계인 것을 명확히 구분하기 어렵다는 이유로 거짓말탐지기 검사결과에 대한 허용성을 부인하였다. 즉, 증거능력을 부여하려면 ..

1. regedit 실행 2. 키 생성 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control HKLM -> System -> CurrentControl -> Control 에 키 생성 위와 같이 Control 키 경로로 이동 후 마우스 우클릭 -> 새로만들기 -> 키 클릭 키 이름을 StorageDevicePolicies 로 변경 해당 키에 DWORD(32비트)값을 새로 만들고 이름은 WriteProtect 로 지정후 값은 1로 설정한다. WriteProtect 값이 1일 경우 : 쓰기방지 설정된 것 WriteProtect 값이 0일 경우 : 쓰기방지 해제된 것

1. HashCalc 설치 (구글검색) 및 실행 2. 테스트 파일 생성 1) 최초 생성 (hashtest.txt) 2) 파일 복사 및 파일명 변경 복사 및 파일명 변경 : hashtest01.txt : hashtest02.txt 3) 내용 수정 hashtest02.txt 파일의 내용 수정 3. 테스트 파일 검증 - Data Format : File - Data : C\Users\uk0305\desktop\hashtest.txt C\Users\uk0305\desktop\hashtest01.txt C\Users\uk0305\desktop\hashtest02.txt 파일명 MD5 SHA1 hashtest.txt b043240f7723bca3180caa50a4d63a03 c07961b4cb4e86d96ba23a..

디지털포렌식에서 디지털증거를 수집, 획득하여 조사할 경우 준수되어야 할 5가지 원칙 1. 무결성의 원칙 수집증거가 위변조 되지 않았음을 증명하는 것 디지털증거 수집 시 데이터 해쉬(Hash) 값 = 법정제출시점의 데이터 해쉬(Hash) 값 --> 디지털증거의 무결성이 입증됨. * 해쉬(Hash) 디지털증거의 데이터 비트열을 출력하는 값. MD5는 128bit SHA-1은 160bit 의 고정된 짧은 길이로 변환하여 출력. 2. 연계보관성(Chain of Custody)의 원칙 디지털 증거물을 획득 > 이송 > 분석 > 법정제출 의 각 단계에서 담당자 및 책임자를 명확히 해야함을 이야기 하는 것. 최종 보고 단계까지 디지털 증거물이 손상되지 않도록 조치를 취한 것을 기록, 담당자는 확인, 인수인계과정에서 ..

디지털포렌식이란? - 위키피디아 정의(ko.wikipedia.org/wiki/컴퓨터포렌식 디지털포렌식 또는 컴퓨터포렌식(Computer Forensics)은 범죄현장에서 확보하는 스마트폰, 태블릿, 컴퓨터 등 디지털데이터 저장매체에서 수집할 수 있는 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업. 디지털 증거는 현실적으로 손상되기 쉽고, 부적절한 취급이나 분석 중에 훼손되거나 변경, 조작될 수 있다. 따라서 디지털 증거를 취급하는 사람은 디지털 증거를 식별, 수집, 획득, 보존, 분석 등의 과정을 통해 증거가 가지는 잠재적인 가치를 최대화하고 발생할 수 있는 위험을 최소화하기 위해 수행되어야 한다. 디지털포렌식에서 디지털증거를 취급하는 경우 사건현장에서..

1. 레지스트리 확인 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged 레지스트리의 무선 네트워크 사용 위치를 통해 장소를 유추할 수 있다. 참고 : https://geniee-lamp.tistory.com/4 3장 포렌식 수사 레지스트리의 무선 AP 분석 윈도우 레지스트리는 운영체제의 설정을 저장하는 데이터베이스이며 무선 통신 관련 정보 저장한다. 윈도우는 각각의 네트워크를 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVers geniee-lamp.tistory.com

1. Kali linux에 Umbrella 설치 - github # git clone # python umbrella.py * 커버로스 youtube 참고 https://www.youtube.com/watch?v=44HQbMK0kmc

[네트워크 포렌식] 3주차 PE static infomation Constant values , 복호화 함수들(이미 알려져있는 복호화알고리즘인지, 커스텀으로 만든 함수인지 식별이 필요) Base64같은 경우 쉽다. LSH : Locality Sensitive Hash, 청킹? 바이너리가 만약 250키로바이트, 짧은 해쉬길이에 표현하려면 .. 바이러스토탈에도 적용이 되어 있다. TLSH가 많이 쓰임 , 수학적인 것.. 연구주제(수학자, 백신) 백신 유사도 검색엔진 만들 때 좋음, 인텔리전스하기 좋음 악성코드 안에있는 pe파일을 뜯어보면 특징적인 문자열을 찾아내야 함, 특징없는 문자열도 알아야 함 오픈소스 라이브러리 문자열을 썻을 경우, ssl 라이브러리를 사용했을 경우 사용되는 문자열, rsa, des등등..