[iOS Forensics] iPhone SMS (문자) 포렌식
[iOS Forensics] iPhone SMS (문자) 포렌식
2021.02.10Phone에 저장되어있는 캘린더를 포렌식 해보도록 하겠습니다. 먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다. github.com/kim-do-hyeon/iphone-forensics kim-do-hyeon/iphone-forensics iPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub. github.com 해당 도구를 사용하시면 추출이 가능합니다. 먼저 SMS가 저장되어 있는 데이터베이스의 위치는..
[iOS Forensics] iPhone 캘린더 포렌식
[iOS Forensics] iPhone 캘린더 포렌식
2021.02.09iPhone에 저장되어있는 캘린더를 포렌식 해보도록 하겠습니다. 먼저 아이폰의 백업 파일을 추출해서 사용하겠습니다. 상황에 따라 본인에 맡게 사용하시면 될거 같습니다. 백업 파일 추출에 관해서 연락이 많은데, 이 부분에 대해서는 현재 아이폰 포렌식 도구를 만들고 있습니다. github.com/kim-do-hyeon/iphone-forensics kim-do-hyeon/iphone-forensics iPhone Forensics Tool. Contribute to kim-do-hyeon/iphone-forensics development by creating an account on GitHub. github.com 해당 도구를 사용하시면 추출이 가능합니다. 먼저 캘린더가 저장되어 있는 데이터베이스의 위치..
[ios Forensics] 아이폰 카카오톡 포렌식 - 멀티프로필 분석하기
[ios Forensics] 아이폰 카카오톡 포렌식 - 멀티프로필 분석하기
2021.02.04오랜만에 블로그에 포스팅을 하게 되었습니다 :) 너무 오랜만이네요 ㅎㅎ 오늘은 카카오톡 멀티 프로필에 대해서 알아보려고 합니다. 먼저 카카오톡 멀티 프로필에 대해서 설명하겠습니다. 카카오가 1월 28일 대화 상대별로 프로필을 다르게 설정할 수 있는 '멀티프로필'을 출시했습니다. 카카오톡 멀티프로필 기능은 기본 카카오톡 프로필 외에 복수의 프로필을 추가할 수 있는 기능으로, 친구별로 표시되는 프로필을 다르게 설정할 수 있습니다. 현재 이 서비스는 카카오톡 지갑 이용자에 한해서만 베타 버전이 제공됩니다. 그럼 이 멀티 프로필은 어떻게 작동이 되는가? 먼저 이렇게 A와 B가 카카오톡을 주고 받고 있습니다. 이때 A의 userid값은 12082****, B의 userid값은 32927**** 입니다. 그런데 B..
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2
2020.10.29컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 디지털 기기 및 저장 매체 ) 1편 : blog.system32.kr/236 2편 : blog.system32.kr/237 11번. SDRAM에 관한 설명으로 옳은 것은 무엇인가? DDR SDRAM의 발전 형태가 SDRAM이다. 클록에 따라 비동기적으로 작동한다. 클록 사이클 당 3번의 데이터 전송이 수행된다. 어드레스 입력과 데이터 입출력에 외부와의 동기를 위한 동기 레지스터가 존재한다. 더보기 정답 : 4. SDRAM은 Synchronous Dynamic Random Access Memory 로써 DRAM의 발전 형태이다...
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #1
[디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #1
2020.10.26컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 디지털 기기 및 저장 매체 ) 1편 : blog.system32.kr/236 2편 : blog.system32.kr/237 1번. 휘발성 메모리가 아닌 것은 무엇인가? RAM Register Temporary File Cache 더보기 정답 : 3. Temporary File의 경우 임시파일로써 %temp% 폴더에 저장된다. 해설 : RAM과 Register, Cache는 휘발성 메모리로써, 포렌식의 수집 과정에서 까다로운 수집이 요구된다. 2번. 휘발성 메모리는 무엇인가? 실행 중인 프로그램을 저장하는 메모리 전원이 공급되는..
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
[디지털포렌식전문가2급] 제 2장 - 디지털 데이터의 표현 기출문제 변형
2020.10.23컴퓨터 구조 ) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 디지털 데이터의 표현 ) 1편 : blog.system32.kr/235 1번. 디지털카메라의 파일 포맷으로 옳지 않은 것은 무엇인가? RAW JPEG BMP MOV 더보기 정답 : 3. BMP는 윈도우에서 사용되는 비트맵 데이터를 표현하기 위해 비트맵 그래픽 파일 포맷이다. 해설 : JPEG, GIF, RAW, MOV 파일 포맷들은 디지털카메라의 파일 포맷이다. BMP는 일반적으로 데이터를 압축하지 않고 사용되기 때문에, BMP파일로 이미지를 저장할 때 다른 형식으로 저장하는 경우에 비해서 파일크기가 매우 커서, 디지털카메라에서는 사용되지 않고 있다. 2번. MP3에 관한 설명으로 옳지 않은 것은..
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #2
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #2
2020.10.221편 : blog.system32.kr/233 2편 : blog.system32.kr/234 11번. 높은 콜록 주파수로 고속 전송을 수행하기 위해 단일 신호선을 이용한 직렬 전송이 채택되고 있다. 각 장치를 전송로에 연결하기 위해 포인트 투 포인트를 사용하는 하드디스크 인터페이스는 무엇인가? SAS PATA SCSI AGP 더보기 정답 : 1. SATA처럼 직렬 인터페이스를 가진 SCSI 인터페이스로써 기존 SCSI의 병렬구조를 SATA처럼 직렬방식으로 바꾸어 데이터 전송속도와 안정성을 대폭 증가시킨 인터페이스이다. 일반 HDD 보다 성능은 높지만, 가격이 비싸, 개인용보다는 서버용으로 많이 사용되는 추세이다. 1. Serial Attached SATA 2. Paralled ATA 3. Small Co..
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
[디지털포렌식전문가2급] 제 1장 - 컴퓨터 구조 기출문제 변형 #1
2020.10.22디지털 포렌식 전문가 2급을 준비하면서 기출문제들이 별로 없다는 사실을 알게 되었고, 기출문제들을 각색해서 문제를 제작해 보려고 합니다. 아직 서툴지만 이해해주시고 봐주시면 감사하겠습니다. (저도 공부 목적입니다..) 1편 : blog.system32.kr/233 2편 : blog.system32.kr/234 1번. 컴퓨터 발전의 방향에 관한 설명으로 옳지 않은 것은 무엇인가? 통합된 환경에서 개발하는 도구가 많아지고 있는 추세이다. 저전력 소모를 위한 설계를 고려하지 않아, 전력 소모에 관한 문제가 점점 커지고 있는 추세이다. 통신을 위한 하드웨어 기능이 계속해서 향상되고 있는 추세이다. GPU 기능이 많이 사용되는 추세이다. 더보기 정답 : 2. 저전력 소모를 위한 설계가 굉장히 많아지고 있으며, 대..
MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
2020.10.21[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 새로운 애플리케이션과 서비스가 시장에 출시되는 빈도와 함께 사용자 지정 아티팩트를 사용하면 Magnet AXIOM에서 지원되지 않을 수 있는 아티팩트를 최신 상태로 유지할 수 있습니다. 기업 환경에서 맞춤형 아티팩트를 사용하여 독점적 응용 프로그램의 데이터를 복구할 수 있습니다. 고유 아티팩트를 만드는 것 외에도, 아티팩트 교환을 사용하여 다른 조직에서 작성하고 업로드한 맞춤형 아티팩트를 다운로드하고 설치할 수 있..
[ios Forensics] 아이폰 카카오톡 포렌식 - #2 DB 복호화
[ios Forensics] 아이폰 카카오톡 포렌식 - #2 DB 복호화
2020.10.05오랜만에 아이폰 카카오톡 포렌식에 관련해서 글을 쓰게 되었습니다 :) blog.system32.kr/160?category=824834 [ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출 오늘은 아이폰에서 카카오톡 DB를 추출해 보도록 하겠습니다. 먼저 준비물입니다! 1. 아이폰 (탈옥되어있어야한다.) 2. 분석이 가능한 컴퓨터 3. 근성 위 세가지만 가지고 계시다면 충분히 카카오� blog.system32.kr 저번 포스팅을 참고하시면 DB 추출 방법에 대해서 확인 하실수 있습니다. 먼저 복호화 하기 앞서, 복호화 방법에 대해서는 기본 구조만 알려줄것이며, 전체 소스는 공개하지 않습니다. ios용 카카오톡의 데이터 베이스를 복호화 하기 위해서는, 먼저 키값을 찾으셔야 합니다. 키값의..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #3 인터넷 분석(Edge)
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #3 인터넷 분석(Edge)
2020.09.29사용 프로그램 : Magnet Axiom Examine [ Internet Analyze ] 웹 관련된 증거가 총 25,959개가 발견이 되었다. 먼저 Edge 브라우저를 사용한 증거에 대해서 분석을 시작한다. [ Edge / Internet Explorer 10-11] 먼저 다운로드된 기록을 확인한다. 다운로드 기록을 보게 되면 총 5개의 다운로드 흔적을 발견할 수 있는데, 시스템에 악영향을 미칠 수 있는 파일들을 다운로드한 것으로 볼 수 있다. Index Access Time URL Redirect URL Download Path 1 2017-07-12 AM 9:34:32 https://www.dropbox.com/home?preview=toolkit1.zip https://dl.dropboxuser..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
2020.09.27[ 시나리오 ] OO회사는 국토해양부로부터 국토이용계획에 관한 용역과제 수행 경력이 있는 부동산 개발 업체이다. 최근 OO회사의 IT관리자 ◇◇◇는 다크 웹을 통해 수개월 안에 개발 예정 중인 OO회사의 도시개발 계획 자료가 불법 거래된다는 제보를 받았다. 이 도시개발 계획에는 국가에서 부지를 매입해야 하는 위치와 가격정보 등이 포함되어 있어 사전 유출될 경우 부동산 중개인 등에게 악용될 수 있다. 이에 따라 위 OO회사에서는 국토해양부로부터 개발계획을 수주받은 자료가 저장되어 있던 담당자 △△△의 PC를 귀하에게 분석 의뢰하였다. 당신은 분석 의뢰받은 PC 하드디스크로부터 자료의 사전 유출경로 및 범인의 단서를 찾을 수 있는 증거를 수집하고, 이를 분석∙설명하는 취지로 『증거분석 보고서』를 작성하여 제..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #1 이미징
2020.09.27오늘은 "제5회 디지털 범인을 찾아라" 대회의 분석을 작성해보겠습니다. [2020-09-27] [ 시나리오 ] OO회사는 국토해양부로부터 국토이용계획에 관한 용역과제 수행 경력이 있는 부동산 개발 업체이다. 최근 OO회사의 IT관리자 ◇◇◇는 다크 웹을 통해 수개월 안에 개발 예정 중인 OO회사의 도시개발 계획 자료가 불법 거래된다는 제보를 받았다. 이 도시개발 계획에는 국가에서 부지를 매입해야 하는 위치와 가격정보 등이 포함되어 있어 사전 유출될 경우 부동산 중개인 등에게 악용될 수 있다. 이에 따라 위 OO회사에서는 국토해양부로부터 개발계획을 수주받은 자료가 저장되어 있던 담당자 △△△의 PC를 귀하에게 분석 의뢰하였다. 당신은 분석 의뢰받은 PC 하드디스크로부터 자료의 사전 유출경로 및 범인의 단서..
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
2020.05.09[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! Passware 플러그인을 설치한 경우 AXIOM Process는 드라이브가 암호화되었는지, 가능한 경우 사용된 암호화 방법의 유형을 감지합니다. 지원되는 암호화 유형의 경우 암호 및 복구 키와 같은 알려진 암호 해독 인증 정보를 제공하여 AXIOM Process가 검색하기 전에 드라이브의 암호를 해독할 수 있습니다. 암호를 모르는 경우에는 암호를 분해를 시도할 수 있습니다. 아니면 AXIOM Process는 드라..
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
2020.04.29[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다. 이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다. 메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다. Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메..