MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
Passware 플러그인을 설치한 경우 AXIOM Process는 드라이브가 암호화되었는지, 가능한 경우 사용된 암호화 방법의 유형을 감지합니다.
지원되는 암호화 유형의 경우 암호 및 복구 키와 같은 알려진 암호 해독 인증 정보를 제공하여 AXIOM Process가 검색하기 전에 드라이브의 암호를 해독할 수 있습니다.
암호를 모르는 경우에는 암호를 분해를 시도할 수 있습니다.
아니면 AXIOM Process는 드라이브의 섹터 수준 검색을 시도합니다.
AXIOM Process에서 잠긴 아이콘이 암호 해독된 파티션과 암호화된 파티션 옆에 나타납니다.
이는 AXIOM Process가 드라이브의 암호를 해독하는 데 성공할지 확신할 수 없기 때문입니다.
검색하는 동안 Magnet AXIOM은 성공적으로 드라이브의 암호를 해독한 암호와 암호를 사례 폴더에 추가합니다.
드라이브의 암호를 해독하기 전에 암호 해독된 이미지에 충분한 공간이 있는지 확인하십시오.
[ 알려진암호 또는 복구키를 사용하여 드라이브 암호 해독 ]
드라이브의 암호 또는 복구 키를 알고 있으면 암호 해독을 시도할 수 있습니다.
1. 암호 해독 옵션 드롭 다운 목록에서 암호 있음을 클릭하거나 BitLocker 암호화된 드라이브의 암호를 해독할 경우 암호/복구 키가 있음을 클릭합니다.
2. 암호/복구 키 필드에 암호 또는 복구 키를 입력하십시오.
3. 다음을 클릭하고 증거 처리를 마칩니다.
[ McAfee 컴퓨터 키 ]
McAfee 암호화 드라이브의 암호를 모르는 경우 컴퓨터 키를 사용하여 암호 해독을 시도할 수 있습니다.
컴퓨터 키는 base64 문자열로 44자이어야 하며 고유한 조합입니다.
올바른 형식으로 컴퓨터키를 제공했지만 키가 올바르지 않은 경우 (예: 키가 해독하려는 컴퓨터와 일치하지 않음), 그래도 AXIOM Process는 드라이브의 암호 해독을 시도합니다.
결과가 없다는 이미지가 생성됩니다.
컴퓨터 키는 McAfee 관리자로부터 가져옵니다. XML file 아래쪽의 <MfeEpeExportMachineKey> tags 사이
에 키가 있습니다.
AXIOM Process에서 드라이브의 가장 큰 파티션만 해독할 수도 있습니다.
이는 McAfee가 개별 파티션이 아닌 전체 드라이브를 암호화하기 때문입니다.
1. 암호 해독 옵션 드롭 다운 목록에서 컴퓨터 키가 있습니다를 클릭합니다.
2. 컴퓨터 키 필드에 XML 파일의 44자의 컴퓨터 키를 붙여 넣으십시오.
3. 컴퓨터 키가 올바른지 확인하려면 확인을 클릭하십시오.
4. 다음을 클릭하고 증거 처리를 마칩니다.
[ 암호와 지우기키로 FileVault 암호화된 드라이브의 암호해독 ]
FileVault로 암호화된 드라이브의 암호를 해독하려면 암호와 지우기 키가 모두 필요합니다.
초기화 키를 복구하려면 Mac 컴퓨터의 복구 파티션을 스캔하세요.
AXIOM Process의 증거 소스 에서 컴퓨터 > 증거 로드 > 파일 & 폴더를 클릭합니다.
복구 파티션 옆의 확인란을 선택하십시오.
드라이브의 암호를 해독하려면,
1. 찾아보기를 클릭하고 추출한 지우기 키의 위치를 찾습니다.
2. 암호 해독 옵션 드롭 다운 목록에서 암호/복구 키가 있습니다을 선택하십시오.
3. 암호 필드에 암호를 입력하십시오.
4. 암호가 올바른지 확인하려면 확인을 클릭하십시오.
5. 다음을 클릭하고 증거 처리를 마칩니다.
[ 암호와 PIM을 사용하여 VeraCrypt로 암호화된 파티션 암호 해독 ]
VeraCrypt로 암호화된 파티션을 해독하려면 암호와 PIM (Personal Iterations Multiplier) 모두 필요합니다.
Passware를 사용하여 PIM을 복구할 수 있습니다.
참고: 잘못된 PIM을 입력하면 VeraCrypt는 파티션을 해독할 수 없습니다
.
1. 암호 해독 옵션 드롭 다운 목록에서 암호가 있습니다를 클릭합니다.
2. 암호 필드에 암호를 입력하십시오.
3. PIM 필드에 PIM을 입력하십시오.
4. 암호와 PIM이 올바른지 확인하려면 확인을 클릭하십시오.
5. 다음을 클릭하고 증거 처리를 마칩니다.
[ 암호 분해 ]
Passware 플러그인의 사전 공격 기능을 사용하면 사용자 지정 암호 목록을 .txt 형식으로 사용하여 드라이브, 모바일 장치 및 이미지의 암호를 해독할 수 있습니다.
Passware는 각 줄을 개별 암호로 읽습니다. 또한 Passware는 모든 띄어쓰기를 읽습니다.
참고: McAfee, FileVault 및 VeraCrypt로 암호화된 드라이브는 암호 해독할 수 없습니다.
[ 단어 목록 생성하기 ]
XIOM Wordlist Generator를 사용하여 장치의 키워드 목록을 검색합니다.
이 도구는 드라이브, 모바일 장치 및 이미지의 암호를 해독하는 데 사용할 수 있는 .txt 파일에 키워드를 작성합니다. 이 무료 도구를 다운로드하려면 다음 사이트를 방문하십시오.
www.magnetforensics.com/free-toolmagnet-axiom-wordlist-generator/
[ 암호화된 드라이브의 암호를 알아 내기 ]
드라이브의 암호를 분해하려면 반드시 Magnet AXIOM Passware 플러그인을 사용해야 합니다.
.txt 형식으로 사전이 있어야 합니다.
암호 분해가 성공하지 못한 경우, 건너뛰게 됩니다.
경고: 상당한 양의 시간과 시스템 리소스가 필요할 수 있으며 성공을 보장하지 않습니다. 시간을 절약하려면 암호를 아는 소스와 구분해 암호화된 소스를 분해하는 것을 고려하십시오.
1. 암호 해독 옵션 드롭 다운 목록에서 암호를 분해고자 합니다를 클릭합니다.
2. 찾아보기를 클릭하고 .txt 파일의 위치를 찾습니다.
3. 다음을 클릭하고 증거 처리를 마칩니다.
증거 분석 화면에 진행 상태와 시도된 암호의 양이 표시됩니다.
드라이브의 암호 해독이 성공하면 파란색 잠금 아이콘이 파란색 잠금 해제 아이콘으로 바뀌고 AXIOM Process가 즉시 드라이브 검색을 시작합니다.
암호 해독에 성공하면 Passware XML report 파일에서 올바른 암호, 암호 해독 기간 등을 찾을 수 있습니다.
이 파일은 사례 폴더에 있으며 암호 해독된 이미지와 비슷한 이름을 가집니다.
다음 포스팅에서는 "클라우드 소스 이미징"에 대해서 다루도록 하겠습니다.
'Forensics > Magnet AXIOM' 카테고리의 다른 글
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보 (0) | 2020.09.27 |
---|---|
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징 (0) | 2020.09.27 |
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝 (0) | 2020.04.29 |
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브 (0) | 2020.04.28 |
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 (23) | 2020.04.25 |
댓글
이 글 공유하기
다른 글
-
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
2020.09.27 -
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
2020.09.27 -
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
2020.04.29 -
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
2020.04.28