[2020 DFC] 2020 디지털포렌식 챌린지 - 104 - Event Log Analysis
[2020 DFC] 2020 디지털포렌식 챌린지 - 104 - Event Log Analysis
2020.09.281. Why did the user fail to Windows backup? (15 points)2. Find all connected wireless AP SSIDs. (15 points)3. Find the manufacturer, model and serial number of the external storage device(s) that the user connected. (20 points)4. Write the list of ZIP files detected by AV on the user’s PC. (20 points)5. When did the user perform the VPN connection and disconnection? (yyyy-mm-dd hh:mm UTC + 0) (3..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
2020.09.27[ 시나리오 ] OO회사는 국토해양부로부터 국토이용계획에 관한 용역과제 수행 경력이 있는 부동산 개발 업체이다. 최근 OO회사의 IT관리자 ◇◇◇는 다크 웹을 통해 수개월 안에 개발 예정 중인 OO회사의 도시개발 계획 자료가 불법 거래된다는 제보를 받았다. 이 도시개발 계획에는 국가에서 부지를 매입해야 하는 위치와 가격정보 등이 포함되어 있어 사전 유출될 경우 부동산 중개인 등에게 악용될 수 있다. 이에 따라 위 OO회사에서는 국토해양부로부터 개발계획을 수주받은 자료가 저장되어 있던 담당자 △△△의 PC를 귀하에게 분석 의뢰하였다. 당신은 분석 의뢰받은 PC 하드디스크로부터 자료의 사전 유출경로 및 범인의 단서를 찾을 수 있는 증거를 수집하고, 이를 분석∙설명하는 취지로 『증거분석 보고서』를 작성하여 제..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
2020.09.27오늘은 "제5회 디지털 범인을 찾아라" 대회의 분석을 작성해보겠습니다. [2020-09-27] [ 시나리오 ] OO회사는 국토해양부로부터 국토이용계획에 관한 용역과제 수행 경력이 있는 부동산 개발 업체이다. 최근 OO회사의 IT관리자 ◇◇◇는 다크 웹을 통해 수개월 안에 개발 예정 중인 OO회사의 도시개발 계획 자료가 불법 거래된다는 제보를 받았다. 이 도시개발 계획에는 국가에서 부지를 매입해야 하는 위치와 가격정보 등이 포함되어 있어 사전 유출될 경우 부동산 중개인 등에게 악용될 수 있다. 이에 따라 위 OO회사에서는 국토해양부로부터 개발계획을 수주받은 자료가 저장되어 있던 담당자 △△△의 PC를 귀하에게 분석 의뢰하였다. 당신은 분석 의뢰받은 PC 하드디스크로부터 자료의 사전 유출경로 및 범인의 단서..
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
2020.05.09[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! Passware 플러그인을 설치한 경우 AXIOM Process는 드라이브가 암호화되었는지, 가능한 경우 사용된 암호화 방법의 유형을 감지합니다. 지원되는 암호화 유형의 경우 암호 및 복구 키와 같은 알려진 암호 해독 인증 정보를 제공하여 AXIOM Process가 검색하기 전에 드라이브의 암호를 해독할 수 있습니다. 암호를 모르는 경우에는 암호를 분해를 시도할 수 있습니다. 아니면 AXIOM Process는 드라..
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
2020.04.29[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다. 이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다. 메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다. Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메..
[FTK ACE] FTK ACE v6 자격증 취득
[FTK ACE] FTK ACE v6 자격증 취득
2020.04.29인생 첫번째 디지털포렌식 관련 자격증입니다 :)
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
2020.04.28[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 드라이브를 이미징할 때 4가지 고유한 이미징 옵션을 선택할 수 있습니다. 선택한 옵션에는 시간 범위와 찾고 있는 데이터 유형이 반영되어야 합니다. 전체 원시 - 드라이브의 전체 내용 옵션 드라이브의 실제 이미지를 나타냅니다. 이러한 유형의 인식을 수행하는 동안, Manget AXIOM Process는 드라이브의 전체 콘텐츠를 단일 .raw 파일에 복사합니다. 이 옵션은 일반적으로 가장 오래 걸립니다. 전체 E01 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
2020.04.25이번 포스팅에서는 저번 포스팅에서 생성한 케이스를 분석해 보도록 하겠습니다. #1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 먼저 수집된 증거는 총 9,309개입니다. 이 증거들에는 현재 카카오톡 PC버전에서 사용한 내용들이 나와 있는데요, 먼저 저는 카카오톡 대화방이 총 56개이며, 연락처는 2001개, 주고받은 메시지는 4,673개입니다. (컴퓨터를 새로 사고 진행했을 때 당시 대략 4일 정도 지난 량 / 아마 1년 이상 사용한 PC라면 수만 개의 대화가 있을 거라고 추측됨) 1. 카카오톡 대화방 먼저 카카오톡 대화방입니다. 위에 보이는 사진과 같이 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
2020.04.24#1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 오늘은 Magnet Axiom 툴을 이용한 카카오톡 포렌식에 대해서 다뤄보도록 하겠습니다. 먼저 Axiom을 켜줘야겠죠? 먼저 Axiom을 실행시켜주고 상황에 맞게 케이스를 입력해줍니다. 케이스 상세 정보를 입력해 주었다면, 증거 소스로 이동합니다. 증거 소스를 컴퓨터 - Windows - 증거 로드 - 파일 및 폴더 순으로 들어가 줍니다. 먼저 필자는 라이브 포렌식을 진행할 것입니다. 만약 이미지를 가지고 있다면, 이미지를 선택해주세요 저는 C드라이브에 카카오톡이 설치되어있기 때문에, 메인 드라이브인 C드..
[Security Traps] Swapping - C++ Trap #3
[Security Traps] Swapping - C++ Trap #3
2020.04.23https://securitytraps.pl/challs/cpptrap3/ Exploiting Machine securitytraps.pl 먼저 문제를 살펴보도록 하겠습니다. 문제는 간단합니다. C++ Trap #3 int main() { unsigned int x = 0xB0FF14a5; unsigned int y = 0x7340c00e; /*INPUT*/ if(x==0x7340c00e && y==0xB0FF14a5) victory(); return 0; } Your main objective is to call the victory function. You must put one line of your code: - Max 11 chars. - You can't use: "main", "victory..
[Security Traps] Hello World! - C++ Trap #7
[Security Traps] Hello World! - C++ Trap #7
2020.04.22https://securitytraps.pl/challs/cpptrap7/ Exploiting Machine securitytraps.pl 조금 어려운 문제다. - You can't use: "main", "asm", "puts", "printf", "putc", "write", "builtin", "#", "*", "&", "_", ";", ",", "\". 위에 나온것들을 사용하지 않고 최대 50글자로 Hello World! 를 출력해야한다. 이런 생각은 해보지 않았을거라고 생각하는데 일반적으로 Hello Wolrd!를 출력하기 위해서 #include int main() { printf("Hello World!"); return 0; } 이렇게 printf를 사용하고 있다 또는 아래와 같은 예제도 가..
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
2020.04.21오늘은 iPhone에 저장되어있는 메모장에 저장되어 있는 내용들을 추출해서 분석해 보도록 하겠습니다. 먼저 저는 iPhone6 / 12.3.1 / JailBreak 을 사용하였습니다. 먼저 메모가 저장되어 있는 위치는 아래와 같습니다. \private\var\mobile\Containers\Shared\AppGroup\[AppID]\NoteStore.sqlite 테이블 구조는 위 사진과 같습니다. ACHANGE, ATRANSACTION, ATRANSACTIONSTRING, ZICCLOUDSTATE, ZICCLOUDSYNCINGOBJECT, ZICLOCATION 등등이 존재 합니다. 저장한 메모의 문자열은 ZICCLOUDSYNCINGOBJECT 테이블의 ZTITLE1 칼럼에 존재합니다. 위 사진을 보면 문..
[Magnet] Magnet Acquire 사용법
[Magnet] Magnet Acquire 사용법
2020.04.19오늘은 Magnet Acquire 프로그램 사용법에 대해서 알아보도록 하겠습니다. Magnet Acquire의 경우 수사기관, 정부기관에게만 제공된다고 합니다! 먼저 프로그램을 실행시켜 줍니다. 처음 키게 된다면 장치를 검색하게 됩니다. 검색이 완료되면 컴퓨터와 연결된 모든 디바이스와 디스크에 대해서 보여주게 됩니다. 저는 iPhone6를 대상으로 이미지를 취득해 보겠습니다. 아이폰을 선택해준후 다음을 눌러주면 위와 같이 빠른 또는 전체 스캔을 고를수 있습니다. 하지만 아이폰에 탈옥 이 되어 있지 않은 아이폰의 경우 전체 스캔을 사용할수가 없습니다. 필자는 탈옥을 하지 않은 아이폰을 상대로 이미징을 해보도록 하겠습니다. 다음을 눌러 줍니다. 증거 폴더 이름과, 이미지 이름, 조사관, 증거 번호, 설명에 ..
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
2020.04.18대략 1주 전부터 코로나의 영향으로 인해서 Autopsy회사에서 온라인 강의를 무료로 배포 하고 있습니다. https://training.autopsy.com/ Autopsy Training We suggest moving this party over to a full size window. You'll enjoy it way more. training.autopsy.com 위 사이트를 접속해 줍니다. 그후 쿠폰 받기를 클릭해 줍니다. 신청서를 작성하고 대략 30분 정도 기다려 줍니다. 쿠폰 코드를 받고 쿠폰 입력창에 쿠폰 번호를 입력해줍니다. 쿠폰 번호를 입력해주면 $495 가 $0 으로 바뀌게 되면서 결제가 완료 됩니다. 강의를 불나게 들어주고 수료증을 받으면 끝이 납니다! 이상으로 홍보를 마치겠습니..
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
2020.04.16오늘은 아이폰 기본 기능 중 "가리기" 기능을 통해서 가려진 사진도 포렌식이 되는지 확인해 보도록 하겠습니다. 가리기 기능은 갤러리에서 사진을 선택후 옵션 버튼을 통해서 가리기를 사용할 수 있습니다. 먼저 저는 6개의 사진을 가려보았습니다. 이제 분석을 진행해 보도록 하겠습니다. 먼저 Axiom을 실행시켜주고, 새로운 케이스 생성을 클릭해줍니다. 케이스 번호와, 케이스 유형, 파일 경로, 스캔한 사람에 대해서 작성해 주고, 증거 소스로 이동해 줍니다. 저는 미리 이미징을 떠두지 않고, 이미징과 동시에 분석을 진행해 보려고 합니다. 아이폰을 연결하고, 위 사진과 같이 증거를 탑재합니다. 아이폰이 탈옥이 되어 있다면, 전체 이미징 기능이 활성화 되있을 것입니다. 하지만 탈옥이 되어 있지 않다면, 빠른 이미징..