[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
2022.08.20
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
2022.08.20이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
Zone Identifier - Export Tool
Zone Identifier - Export Tool
2021.05.28인터넷에서 다운로드 받은 파일이 악성코드일 가능성은 언제나 있다. 그래서 브라우저는 파일을 다운로드 받을 때 NTFS의 ADS 영역에 이 파일을 어디서 다운로드 받았는지에 관한 정보를 저장한다. 이 정보의 이름을 Zone.Identifier 라고 하며, 이 정보는 보안 프로그램에 의해 사용된다. 각 파일의 Zone.Identifier 값으로 다운로드 여부를 판단하며 ZoneId 값이 3이면 인터넷으로 부터 다운로드 된 파일이라고 볼수 있다. Zone.Identifier 은 ADS 의 일종으로 아래와 값은 값들을 가진다. Zone.Identifier ZoneId=1 Local Intra Net (로컬 인트라넷) ZoneId=2 Urlzone_Trusted (신뢰 할 수 있는 사이트) ZoneId=3 Int..
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
2021.03.02Find a hidden message in ‘DFC Review.pptx’ and then complete the following sentence. “Let’s meet with (name) at (time) on (date) at (location) of (address).” Teams must: - Describe step-by-step processes for providing your solution. - Specify any tools used for this problem. 먼저 주어진 PPT 파일의 정보는 다음과 같다. 설명 부분에 이상한 문자열이 있음을 확인하고, 문제 풀기를 시작한다. PPT의 1번 슬라이드의 폰트에 집중해보자. 먼저 작성되어있는 슬라이드의 폰트는 Roboto Medi..
[FTK ACE] FTK ACE 자격증 - #2 시험 정보 (ACE v7)
[FTK ACE] FTK ACE 자격증 - #2 시험 정보 (ACE v7)
2021.02.20만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다. #1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245 #2 시험 정보 (ACE v7) > blog.system32.kr/246 #3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247 #4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248 먼저 AccessData사에서 제공한 FTK ACE v7 의 정보는 다음과 같습니다. [Information] The AccessData Certified Examiner (ACE) credential demonstrates the user’s proficiency with AccessDa..
[FTK ACE] FTK ACE 자격증 - #1 자격증 시험을 보기전 알아야 할 사항
[FTK ACE] FTK ACE 자격증 - #1 자격증 시험을 보기전 알아야 할 사항
2021.02.19FTK ACE 자격증 취득을 할때 준비했던것들을 알려달라는 요청이 많아 이런 글을 작성하게 되었습니다. 만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다. #1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245 #2 시험 정보 (ACE v7) > blog.system32.kr/246 #3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247 #4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248 먼저 AccessData사에서 제공한 FTK ACE 자격증 취득을 위한 가이드라인은 다음과 같습니다. The AccessData Certified Examiner (ACE) credent..
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
2020.10.29컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 디지털 기기 및 저장 매체 ) 1편 : blog.system32.kr/236 2편 : blog.system32.kr/237 11번. SDRAM에 관한 설명으로 옳은 것은 무엇인가? DDR SDRAM의 발전 형태가 SDRAM이다. 클록에 따라 비동기적으로 작동한다. 클록 사이클 당 3번의 데이터 전송이 수행된다. 어드레스 입력과 데이터 입출력에 외부와의 동기를 위한 동기 레지스터가 존재한다. 더보기 정답 : 4. SDRAM은 Synchronous Dynamic Random Access Memory 로써 DRAM의 발전 형태이다...
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
2020.10.23컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 1번. 디지털카메라의 파일 포맷으로 옳지 않은 것은 무엇인가? RAW JPEG BMP MOV 더보기 정답 : 3. BMP는 윈도우에서 사용되는 비트맵 데이터를 표현하기 위해 비트맵 그래픽 파일 포맷이다. 해설 : JPEG, GIF, RAW, MOV 파일 포맷들은 디지털카메라의 파일 포맷이다. BMP는 일반적으로 데이터를 압축하지 않고 사용되기 때문에, BMP파일로 이미지를 저장할 때 다른 형식으로 저장하는 경우에 비해서 파일크기가 매우 커서, 디지털카메라에서는 사용되지 않고 있다. 2번. MP3에 관한 설명으로 옳지 않은 것은..
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
2020.10.22디지털 포렌식 전문가 2급을 준비하면서 기출문제들이 별로 없다는 사실을 알게 되었고, 기출문제들을 각색해서 문제를 제작해 보려고 합니다. 아직 서툴지만 이해해주시고 봐주시면 감사하겠습니다. (저도 공부 목적입니다..) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 1번. 컴퓨터 발전의 방향에 관한 설명으로 옳지 않은 것은 무엇인가? 통합된 환경에서 개발하는 도구가 많아지고 있는 추세이다. 저전력 소모를 위한 설계를 고려하지 않아, 전력 소모에 관한 문제가 점점 커지고 있는 추세이다. 통신을 위한 하드웨어 기능이 계속해서 향상되고 있는 추세이다. GPU 기능이 많이 사용되는 추세이다. 더보기 정답 : 2. 저전력 소모를 위한 설계가 굉장히 많아지고 있으며, 대..
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
2020.04.012020 DFC를 대비하기 위해서 2019 DFC 를 풀어보도록 하겠습니다. (2019 DFC는 고3이라,, 참가하지 못했었습니다.) 바로 시작하도록 하겠습니다. Questions By analyzing these artifacts, you can find: 1) H/W information (including model name) of the suspect’s smart device 2) Suspect's activities with various IoT devices focusing on success of activities 3) Wi-Fi SSID used by the suspect 문제는 총 세문제로, 1. 용의자의 스마트 기기의 하드웨어 정보 (모델 이름을 포함) 2. 다양한 IoT 기기로 활..
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
2020.03.31https://github.com/kim-do-hyeon/volatility-gui/blob/master/ui.py kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 그래픽 처리 소스는 아래와 같습니다. import os import sys import pathlib import subprocess import plugin from datetime import datetime from PyQt5 import uic from PyQt5.QtGui import * from PyQt5.QtWidgets im..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
2020.03.29오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자 명을 적어주었습니다. 증거 소스 - CLOUD 를 선택해 줍니다. 증거 소스 - Cloud - 증거 인식을 선택합니다. 위의 체크박스를 선택해주면, 아이콘과 같이 수많은 플랫폼의 클라우드를 포렌식 할 수 있습니다. 오늘은 인스타그램 포렌식을 진행하도록 했으니 인스타그램을 선택하겠습니다. 인스타그램을 선택해주면 INSTAGRAM PUBLIC ACTIVITY 또는 INSTAGRAM USER ACCOUNT 둘중 하나는 선택할 수 있습니다. 먼저 INSTAGRAM PUBLIC ACTIVITY를..
[Digital Forensics] "압수 수색"에 대해 알아보기
[Digital Forensics] "압수 수색"에 대해 알아보기
2019.11.24먼저 압수의 대상을 확인해야 한다. 압수의 대상 中 전자적 기록은 가시성과 가독성을 갖추지 않은 무형정보 압수 · 수색의 대상이 될 수 있는가에 대한 논의가 있다. 현행 형사소송법 제106조 1항의 경우 압수 · 수색의 대상을 증거물 or 몰수물이라고 정의 증거물 = 일반적으로 ‘강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물’ (Q. 실질적으로 압수 가능한 것일까?) 개정 형사소송법을 보면 제106조 3항은 ‘법원의 압수 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 ’정보저장 매체 등’이라고 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제해 제출받아야 한다.' 하지만 범위를 정하고 출력 또는 복제하는 방법이 불가능하거나 압..