카카오톡 PC 버전 포렌식: 민사·내부 감사 맞춤 분석 서비스 의뢰 받습니다
카카오톡 PC 버전 포렌식: 민사·내부 감사 맞춤 분석 서비스 의뢰 받습니다
2024.10.24안녕하세요, 디지털 포렌식 전문가 김도현입니다. 디지털 포렌식 분야에서 다년간의 경험을 쌓아온 저는 민사 사건이나 내부 감사와 같은 상황에서 신뢰할 수 있는 디지털 증거 분석을 제공합니다.디지털 시대가 발전하면서 다양한 플랫폼에서 이루어지는 소통과 활동이 중요한 증거 자료로 활용되고 있습니다. 그중에서도 특히 카카오톡은 대한민국을 비롯한 여러 국가에서 가장 인기 있는 메신저 플랫폼 중 하나로, 개인과 단체 간의 대화, 파일 전송, 사진 공유 등 다양한 디지털 정보가 담겨 있습니다. 이러한 카카오톡의 정보를 분석하는 작업을 포렌식이라고 하는데, 특히 카카오톡 PC 버전 포렌식은 법적, 수사적 목적으로 중요한 역할을 합니다.카카오톡 PC 버전 포렌식의 필요성카카오톡은 스마트폰 기반의 메신저로 잘 알려져 있지..
디지털 포렌식 전문가 2급 - 실기 복원 문제 (18회)
디지털 포렌식 전문가 2급 - 실기 복원 문제 (18회)
2024.10.08해당 문제는 해당 회차 시험 후 복구로 만든 문제 및 풀이입니다. 만약 해당 글이 문제가 된다면 바로 글이 삭제 될 수 있습니다.만약 해당 글이 위반 사항에 해당하거나, 게시글 중단 요청이 필요하시다면, pental@kakao.com 으로 메일 부탁드리겠습니다.[분석도구]도구명버전용도FTK Imager4.5.0.3이미징 및 데이터 브라우징HxD2.5.0.0이미지 분석 및 복구NTFS Log Tracker1.71타임라인 분석KFolt1.6.33이미지 분석1. USB에 대한 사본 이미지를 생성하시오.이미징 하기전 논리적으로 쓰기 금지를 하기 위해 다음과 같이 진행한다.HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 에서 WriteProtect의 ..
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
[KDFS] 2021년도 KDFS 디지털포렌식 챌린지 발표자료
2022.08.20
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
[KDFS] 2021년도 KDFS 디지털포렌식챌린지 보고서
2022.08.202021년도 KDFS에서 우승을 한 보고서입니다. 해당 팀의 팀장 역할을 맡았습니다. 1. 서론 1.1 대회 개요 KDFS 2021 Digital Forensic Challenge는 다양한 디지털 포렌식 기술을 융합한 문제 이미지를 분석하는 챌린지입니다. (사)한국디지털포렌식학회에서 주최하고 있으며, 2017년 1회 챌린지를 시작으로 매년 최신 트렌드를 반영한 디지털 포렌식 응용 분야에 관련된 챌린지를 발표하고 있습니다. 타 정보보안 분야에 대비해 디지털 포렌식 분야는 증거 분석과 법률에 따라 움직인다는 특수성을 가지고 있어 민간에서 대회를 개최하거나 챌린지를 만드는데에 어려움을 겪고 있습니다. 하지만 디지털 포렌식 챌린지는 대회의 가치 희소성을 해소함과 더불어 디지털 포렌식 전문가를 꿈꾸는 연구자들의 ..
Zone Identifier - Export Tool
Zone Identifier - Export Tool
2021.05.28인터넷에서 다운로드 받은 파일이 악성코드일 가능성은 언제나 있다. 그래서 브라우저는 파일을 다운로드 받을 때 NTFS의 ADS 영역에 이 파일을 어디서 다운로드 받았는지에 관한 정보를 저장한다. 이 정보의 이름을 Zone.Identifier 라고 하며, 이 정보는 보안 프로그램에 의해 사용된다. 각 파일의 Zone.Identifier 값으로 다운로드 여부를 판단하며 ZoneId 값이 3이면 인터넷으로 부터 다운로드 된 파일이라고 볼수 있다. Zone.Identifier 은 ADS 의 일종으로 아래와 값은 값들을 가진다. Zone.Identifier ZoneId=1 Local Intra Net (로컬 인트라넷) ZoneId=2 Urlzone_Trusted (신뢰 할 수 있는 사이트) ZoneId=3 Int..
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message
2021.03.02Find a hidden message in ‘DFC Review.pptx’ and then complete the following sentence. “Let’s meet with (name) at (time) on (date) at (location) of (address).” Teams must: - Describe step-by-step processes for providing your solution. - Specify any tools used for this problem. 먼저 주어진 PPT 파일의 정보는 다음과 같다. 설명 부분에 이상한 문자열이 있음을 확인하고, 문제 풀기를 시작한다. PPT의 1번 슬라이드의 폰트에 집중해보자. 먼저 작성되어있는 슬라이드의 폰트는 Roboto Medi..
[FTK ACE] FTK ACE 자격증 - #2 시험 정보 (ACE v7)
[FTK ACE] FTK ACE 자격증 - #2 시험 정보 (ACE v7)
2021.02.20만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다. #1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245 #2 시험 정보 (ACE v7) > blog.system32.kr/246 #3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247 #4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248 먼저 AccessData사에서 제공한 FTK ACE v7 의 정보는 다음과 같습니다. [Information] The AccessData Certified Examiner (ACE) credential demonstrates the user’s proficiency with AccessDa..
[FTK ACE] FTK ACE 자격증 - #1 자격증 시험을 보기전 알아야 할 사항
[FTK ACE] FTK ACE 자격증 - #1 자격증 시험을 보기전 알아야 할 사항
2021.02.19FTK ACE 자격증 취득을 할때 준비했던것들을 알려달라는 요청이 많아 이런 글을 작성하게 되었습니다. 만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다. #1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245 #2 시험 정보 (ACE v7) > blog.system32.kr/246 #3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247 #4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248 먼저 AccessData사에서 제공한 FTK ACE 자격증 취득을 위한 가이드라인은 다음과 같습니다. The AccessData Certified Examiner (ACE) credent..
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
2020.10.29컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 디지털 기기 및 저장 매체 ) 1편 : blog.system32.kr/236 2편 : blog.system32.kr/237 11번. SDRAM에 관한 설명으로 옳은 것은 무엇인가? DDR SDRAM의 발전 형태가 SDRAM이다. 클록에 따라 비동기적으로 작동한다. 클록 사이클 당 3번의 데이터 전송이 수행된다. 어드레스 입력과 데이터 입출력에 외부와의 동기를 위한 동기 레지스터가 존재한다. 더보기 정답 : 4. SDRAM은 Synchronous Dynamic Random Access Memory 로써 DRAM의 발전 형태이다...
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
2020.10.23컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 1번. 디지털카메라의 파일 포맷으로 옳지 않은 것은 무엇인가? RAW JPEG BMP MOV 더보기 정답 : 3. BMP는 윈도우에서 사용되는 비트맵 데이터를 표현하기 위해 비트맵 그래픽 파일 포맷이다. 해설 : JPEG, GIF, RAW, MOV 파일 포맷들은 디지털카메라의 파일 포맷이다. BMP는 일반적으로 데이터를 압축하지 않고 사용되기 때문에, BMP파일로 이미지를 저장할 때 다른 형식으로 저장하는 경우에 비해서 파일크기가 매우 커서, 디지털카메라에서는 사용되지 않고 있다. 2번. MP3에 관한 설명으로 옳지 않은 것은..
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
2020.10.22디지털 포렌식 전문가 2급을 준비하면서 기출문제들이 별로 없다는 사실을 알게 되었고, 기출문제들을 각색해서 문제를 제작해 보려고 합니다. 아직 서툴지만 이해해주시고 봐주시면 감사하겠습니다. (저도 공부 목적입니다..) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 1번. 컴퓨터 발전의 방향에 관한 설명으로 옳지 않은 것은 무엇인가? 통합된 환경에서 개발하는 도구가 많아지고 있는 추세이다. 저전력 소모를 위한 설계를 고려하지 않아, 전력 소모에 관한 문제가 점점 커지고 있는 추세이다. 통신을 위한 하드웨어 기능이 계속해서 향상되고 있는 추세이다. GPU 기능이 많이 사용되는 추세이다. 더보기 정답 : 2. 저전력 소모를 위한 설계가 굉장히 많아지고 있으며, 대..
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
2020.04.012020 DFC를 대비하기 위해서 2019 DFC 를 풀어보도록 하겠습니다. (2019 DFC는 고3이라,, 참가하지 못했었습니다.) 바로 시작하도록 하겠습니다. Questions By analyzing these artifacts, you can find: 1) H/W information (including model name) of the suspect’s smart device 2) Suspect's activities with various IoT devices focusing on success of activities 3) Wi-Fi SSID used by the suspect 문제는 총 세문제로, 1. 용의자의 스마트 기기의 하드웨어 정보 (모델 이름을 포함) 2. 다양한 IoT 기기로 활..
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
2020.03.31https://github.com/kim-do-hyeon/volatility-gui/blob/master/ui.py kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 그래픽 처리 소스는 아래와 같습니다. import os import sys import pathlib import subprocess import plugin from datetime import datetime from PyQt5 import uic from PyQt5.QtGui import * from PyQt5.QtWidgets im..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
2020.03.29오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자 명을 적어주었습니다. 증거 소스 - CLOUD 를 선택해 줍니다. 증거 소스 - Cloud - 증거 인식을 선택합니다. 위의 체크박스를 선택해주면, 아이콘과 같이 수많은 플랫폼의 클라우드를 포렌식 할 수 있습니다. 오늘은 인스타그램 포렌식을 진행하도록 했으니 인스타그램을 선택하겠습니다. 인스타그램을 선택해주면 INSTAGRAM PUBLIC ACTIVITY 또는 INSTAGRAM USER ACCOUNT 둘중 하나는 선택할 수 있습니다. 먼저 INSTAGRAM PUBLIC ACTIVITY를..
[Digital Forensics] "압수 수색"에 대해 알아보기
[Digital Forensics] "압수 수색"에 대해 알아보기
2019.11.24먼저 압수의 대상을 확인해야 한다. 압수의 대상 中 전자적 기록은 가시성과 가독성을 갖추지 않은 무형정보 압수 · 수색의 대상이 될 수 있는가에 대한 논의가 있다. 현행 형사소송법 제106조 1항의 경우 압수 · 수색의 대상을 증거물 or 몰수물이라고 정의 증거물 = 일반적으로 ‘강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물’ (Q. 실질적으로 압수 가능한 것일까?) 개정 형사소송법을 보면 제106조 3항은 ‘법원의 압수 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 ’정보저장 매체 등’이라고 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제해 제출받아야 한다.' 하지만 범위를 정하고 출력 또는 복제하는 방법이 불가능하거나 압..