Forensics
[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #2
[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #2
2024.03.24#1 에서는 윈도우 카카오톡 데이터 베이스 복호화 분석을 진행했다. #2 에서는 자동화 하는 기능을 소개하려고 한다. 일단 Pragma를 생성하기 위해서 레지스트리에 접근해야하지 않는가? def get_pragma() : DeviceInfo_Path = "Software\Kakao\KakaoTalk\DeviceInfo" keypath = winreg.OpenKey(winreg.HKEY_CURRENT_USER, DeviceInfo_Path, 0, winreg.KEY_READ) reg_path = winreg.QueryValueEx(keypath, "Last")[0] DeviceInfo_Key_Path = DeviceInfo_Path +"\\" + reg_path keypath = winreg.OpenKey..
[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #1
[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #1
2024.03.23본 글은 언제든지 비공개 되거나, 삭제될수 있음을 미리 알려드립니다. (뭐,, 카카오톡 본사에서 글 내려라 하지 않는 이상 없어지진 않지 않을까...?) 이 글은 여러 논문을 참조하여 분석 및 구현한것이며, 참고 문헌은 아래에서 확인 할 수 있다. 분석 환경 및 도구 : MacBook Air M2, Python 3.9, DB Browser for SQLite, HxD,, 등등등등 먼저 윈도우용 카카오톡 데이터베이스 복호화를 하는 이유가 무엇인가 ? 직관적인 주제이며, 가장 결과물이 잘 나올수 있는 복호화 솔루션이 아닌가! 상용 포렌식 도구들에서도 카카오톡 복호화는 어려움을 겪는 부분이라, 쉽고, 빠르게 복호화 할수 있는 방법이 뭐가 있나 고민하다 분석하게 되었음. (사실 이렇게 퍼블릭하게 코드도 공개해도..
아이폰 1110 오류 해결 / 무한 부팅 증상 해결 및 데이터 복구 성공 - 아이폰 12 미니
아이폰 1110 오류 해결 / 무한 부팅 증상 해결 및 데이터 복구 성공 - 아이폰 12 미니
2022.08.25아이폰 1110 오류 해결 및 무한 부팅 증상 해결 + 데이터 복구 성공 이 글은, 실제 디지털 포렌식 요청을 받아 작업을 진행하였습니다. 해당 의뢰를 원하신다면 메일을 통해 연락주시길 바라겠습니다. 최대한의 합리적인 금액으로 복구 및 수리를 도와드리고 있습니다. 2022년 8월 25일 기준으로 현재, 1110오류에 대해서는 100% 복구 성공률을 장담하고 있습니다. 이번 아이폰 12미니 같은 경우도, 합리적인 가격으로 소중한 데이터를 복구해드렸습니다. 8월 23일 의뢰인께서, 블로그를 통해서 메일을 한통 보내주셨습니다. 이전 글 (https://pental.tistory.com/297)에서 포스팅된 아이폰 1110 오류 해결내용을 보시고, 의뢰를 요청하셨습니다. 택배로 고객님의 휴대폰을 받아 보았으며,..
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
2022.08.20
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
2022.08.20이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
아이폰 1110 오류 해결 / 무한 부팅 증상 해결 및 데이터 복구 성공 - 아이폰X
아이폰 1110 오류 해결 / 무한 부팅 증상 해결 및 데이터 복구 성공 - 아이폰X
2022.08.15아이폰 1110 오류 해결 및 무한 부팅 증상 해결 + 데이터 복구 성공 이 글은, 실제 디지털 포렌식 요청을 받아 작업을 진행하였습니다. 해당 의뢰를 원하신다면 메일을 통해 연락주시길 바라겠습니다. 최대한의 합리적인 금액으로 복구 및 수리를 도와드리고 있습니다. 분석 목적 의뢰인으로부터 아이폰 X 디지털 포렌식 의뢰 요청 의뢰인이 원하는 항목 사진, 동영상 분석 일시 2022-08-13 ~ 2022-08-15 오류 진단 아이폰 1110 오류, 용량 꽉참. 증거물을 안전하게 포장후, 작업실로 데려와서 전원을 인가하니, 복구보드가 발생하여, iOS 15.6 버전으로 업데이트를 진행했다. 하지만 아이폰 업데이트 과정에서 1110 에러가 발생하였으며, 해당 오류는 널리 알려진 오류로써, 다양한 방법을 통해서 ..
[디지털포렌식전문가2급] 18회 실기시험 복구 기출문제 풀이
[디지털포렌식전문가2급] 18회 실기시험 복구 기출문제 풀이
2022.07.31[ 분석 도구 ]도구명버전용도FTK Imager4.5.0.3이미징 및 데이터 브라우징HxD2.5.0.0이미지 분석 및 복구NTFS Log Tracker1.71타임라인 분석KFolt1.6.33이미지 분석 1. USB에 대한 사본 이미지를 생성하시오. 이미징 하기전 논리적으로 쓰기 금지를 하기 위해 다음과 같이 진행한다. HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 에서 WriteProtect의 값을 1로 변경하고 재부팅 또는 USB를 다시 연결하면 논리적 쓰기 방지 설정이 가능하다. 논리적 쓰기 금지 설정을 마친후 다음과 같은 작업을 진행한다. 2. 손상된 파티션을 복구하고,해당 파티션의 1) 파일시스템 종류 2) 총 용량 3) 총 섹터수 4)..
[2021 DFC] 2021 디지털포렌식 챌린지 - 301 - What is the secret information
[2021 DFC] 2021 디지털포렌식 챌린지 - 301 - What is the secret information
2021.10.291. Identify all unlock methods that the A is using (PIN / Pattern / Password) A는 2014년 3월에 안드로이드 기기를 구입하였기 때문에 당시 최신 릴리즈 버전인 KitKat 이하의 버전임을 유추해 볼 수 있다. KitKat 이하의 안드로이드 기기에서 사용되는 화면 잠금 유형과 특징 및 아티팩트를 알아보기 위해 안드로이드 SDK(Software Development Kit)을 사용해 AVD(Android Virtual Device)를 생성한다. KitKat AVD에서 지원하는 화면 잠금 해제 방법은 Slide, Pattern, PIN, Password 총 4가지로 구성되어 있다. 위 표는 KitKat 이하 버전에서 잠금 방식에 따른 아티팩트의 ..
[2021 DFC] 2021 디지털포렌식 챌린지 - 208 - iOS Fridump
[2021 DFC] 2021 디지털포렌식 챌린지 - 208 - iOS Fridump
2021.10.291. Identify the device model by analyzing the Settings. (25 points) Device의 모델명을 확인하기 위해서 주어진 setting 파일에서 strings 프로그램을 이용해 string을 모두 추출한다. 아이폰 메모리 포렌식에 관련된 아무런 정보를 찾을 수 없어 직접 메모리 덤프를 진행한다. 작성자의 환경은 iPhone6 사용하고 있으며 문제 상황과 최대한 비슷하도록 덤프를 진행한다. 먼저 pip 명령어를 통해서 frida를 설치한다. C:\Users\pental>pip install frida C:\Users\pental>pip install frida-toosl [ 표 1 | frida 설치를 위한 pip 설치 구문 ] frida 설치를 마친후 아이폰..
[2021 DFC] 2021 디지털포렌식 챌린지 - 204 - Slack Off
[2021 DFC] 2021 디지털포렌식 챌린지 - 204 - Slack Off
2021.10.291. What are the names of mobile games installed by the user and their initial execution time? (40 points) 먼저 주어진 이미지에 확장자가 없기 때문에 HxD 프로그램을 통해 시그니쳐를 확인한다. 주어진 시그니쳐는 ADSEGMENTEDFILE 임으로 Access Data에서 지원하는 File Format 으로 FTK Imager 를 통해 Dump를 수행했을 때 확장자를 AD1으로 진행할 경우 만들어지는 파일이다. 주어진 이미지에 확장자 .ad1 를 추가해 FTK Imager에 탑재후 분석을 시작한다. 폴더 디렉터리 구조를 확인해 보면 일반적으로 안드로이드에서 사용되는 android. ~ 폴더를 확인할 수 있으며 이를 통해 안..
Zone Identifier - Export Tool
Zone Identifier - Export Tool
2021.05.28인터넷에서 다운로드 받은 파일이 악성코드일 가능성은 언제나 있다. 그래서 브라우저는 파일을 다운로드 받을 때 NTFS의 ADS 영역에 이 파일을 어디서 다운로드 받았는지에 관한 정보를 저장한다. 이 정보의 이름을 Zone.Identifier 라고 하며, 이 정보는 보안 프로그램에 의해 사용된다. 각 파일의 Zone.Identifier 값으로 다운로드 여부를 판단하며 ZoneId 값이 3이면 인터넷으로 부터 다운로드 된 파일이라고 볼수 있다. Zone.Identifier 은 ADS 의 일종으로 아래와 값은 값들을 가진다. Zone.Identifier ZoneId=1 Local Intra Net (로컬 인트라넷) ZoneId=2 Urlzone_Trusted (신뢰 할 수 있는 사이트) ZoneId=3 Int..
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
2021.03.02Find a hidden message in ‘DFC Review.pptx’ and then complete the following sentence. “Let’s meet with (name) at (time) on (date) at (location) of (address).” Teams must: - Describe step-by-step processes for providing your solution. - Specify any tools used for this problem. 먼저 주어진 PPT 파일의 정보는 다음과 같다. 설명 부분에 이상한 문자열이 있음을 확인하고, 문제 풀기를 시작한다. PPT의 1번 슬라이드의 폰트에 집중해보자. 먼저 작성되어있는 슬라이드의 폰트는 Roboto Medi..
[FTK ACE] FTK ACE 자격증 - #5 자격증 기출 문제 풀이 (ACE v7)
[FTK ACE] FTK ACE 자격증 - #5 자격증 기출 문제 풀이 (ACE v7)
2021.02.22이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[FTK ACE] FTK ACE v7 자격증 취득
[FTK ACE] FTK ACE v7 자격증 취득
2021.02.22그냥 심심해서 한번 따봤습니다.. 시험 준비 기간은 대략 3일, 이미지 분석은 대략 3시간 정도 걸렸습니다. 다른 추가적인 문의나 오탈자는 아래 댓글 또는 pental@kakao.com 으로 남겨주시면 감사하겠습니다. 다시한번 공지해드립니다.
[FTK ACE] FTK ACE 자격증 - #4 기출 문제 (ACE v6, 실기)
[FTK ACE] FTK ACE 자격증 - #4 기출 문제 (ACE v6, 실기)
2021.02.21만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다. #1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245 #2 시험 정보 (ACE v7) > blog.system32.kr/246 #3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247 #4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248 먼저 ACE 기출문제를 올리는 이유는 현 글을 작성하고 있는 2021-02-21 기준으로 AccessData사의 FTK ACE 는 v7버전으로 변경되었음을 확인하였습니다. 그래서 Ace v6 버전의 자격증 시험에 사용되었던 문제는 v7 버전에서 사용되지 않는다는것을 확인 하였고, 여러 사람..