MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
2020.10.21[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 새로운 애플리케이션과 서비스가 시장에 출시되는 빈도와 함께 사용자 지정 아티팩트를 사용하면 Magnet AXIOM에서 지원되지 않을 수 있는 아티팩트를 최신 상태로 유지할 수 있습니다. 기업 환경에서 맞춤형 아티팩트를 사용하여 독점적 응용 프로그램의 데이터를 복구할 수 있습니다. 고유 아티팩트를 만드는 것 외에도, 아티팩트 교환을 사용하여 다른 조직에서 작성하고 업로드한 맞춤형 아티팩트를 다운로드하고 설치할 수 있..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #3 인터넷 분석(Edge)
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #3 인터넷 분석(Edge)
2020.09.29사용 프로그램 : Magnet Axiom Examine [ Internet Analyze ] 웹 관련된 증거가 총 25,959개가 발견이 되었다. 먼저 Edge 브라우저를 사용한 증거에 대해서 분석을 시작한다. [ Edge / Internet Explorer 10-11] 먼저 다운로드된 기록을 확인한다. 다운로드 기록을 보게 되면 총 5개의 다운로드 흔적을 발견할 수 있는데, 시스템에 악영향을 미칠 수 있는 파일들을 다운로드한 것으로 볼 수 있다. Index Access Time URL Redirect URL Download Path 1 2017-07-12 AM 9:34:32 https://www.dropbox.com/home?preview=toolkit1.zip https://dl.dropboxuser..
[2020 DFC] 2020 디지털포렌식 챌린지 - 104 - Event Log Analysis
[2020 DFC] 2020 디지털포렌식 챌린지 - 104 - Event Log Analysis
2020.09.281. Why did the user fail to Windows backup? (15 points)2. Find all connected wireless AP SSIDs. (15 points)3. Find the manufacturer, model and serial number of the external storage device(s) that the user connected. (20 points)4. Write the list of ZIP files detected by AV on the user’s PC. (20 points)5. When did the user perform the VPN connection and disconnection? (yyyy-mm-dd hh:mm UTC + 0) (3..
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
[Magnet Axiom] 제 5회 디지털 범인을 찾아라 분석 #2 운영체제 정보
2020.09.27[ 시나리오 ] OO회사는 국토해양부로부터 국토이용계획에 관한 용역과제 수행 경력이 있는 부동산 개발 업체이다. 최근 OO회사의 IT관리자 ◇◇◇는 다크 웹을 통해 수개월 안에 개발 예정 중인 OO회사의 도시개발 계획 자료가 불법 거래된다는 제보를 받았다. 이 도시개발 계획에는 국가에서 부지를 매입해야 하는 위치와 가격정보 등이 포함되어 있어 사전 유출될 경우 부동산 중개인 등에게 악용될 수 있다. 이에 따라 위 OO회사에서는 국토해양부로부터 개발계획을 수주받은 자료가 저장되어 있던 담당자 △△△의 PC를 귀하에게 분석 의뢰하였다. 당신은 분석 의뢰받은 PC 하드디스크로부터 자료의 사전 유출경로 및 범인의 단서를 찾을 수 있는 증거를 수집하고, 이를 분석∙설명하는 취지로 『증거분석 보고서』를 작성하여 제..
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
MAGNET Axiom - User Guide (Korean) #12 드라이브 암호 해독
2020.05.09[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! Passware 플러그인을 설치한 경우 AXIOM Process는 드라이브가 암호화되었는지, 가능한 경우 사용된 암호화 방법의 유형을 감지합니다. 지원되는 암호화 유형의 경우 암호 및 복구 키와 같은 알려진 암호 해독 인증 정보를 제공하여 AXIOM Process가 검색하기 전에 드라이브의 암호를 해독할 수 있습니다. 암호를 모르는 경우에는 암호를 분해를 시도할 수 있습니다. 아니면 AXIOM Process는 드라..
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
2020.04.29[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다. 이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다. 메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다. Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메..
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
2020.04.28[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 드라이브를 이미징할 때 4가지 고유한 이미징 옵션을 선택할 수 있습니다. 선택한 옵션에는 시간 범위와 찾고 있는 데이터 유형이 반영되어야 합니다. 전체 원시 - 드라이브의 전체 내용 옵션 드라이브의 실제 이미지를 나타냅니다. 이러한 유형의 인식을 수행하는 동안, Manget AXIOM Process는 드라이브의 전체 콘텐츠를 단일 .raw 파일에 복사합니다. 이 옵션은 일반적으로 가장 오래 걸립니다. 전체 E01 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
2020.04.25이번 포스팅에서는 저번 포스팅에서 생성한 케이스를 분석해 보도록 하겠습니다. #1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 먼저 수집된 증거는 총 9,309개입니다. 이 증거들에는 현재 카카오톡 PC버전에서 사용한 내용들이 나와 있는데요, 먼저 저는 카카오톡 대화방이 총 56개이며, 연락처는 2001개, 주고받은 메시지는 4,673개입니다. (컴퓨터를 새로 사고 진행했을 때 당시 대략 4일 정도 지난 량 / 아마 1년 이상 사용한 PC라면 수만 개의 대화가 있을 거라고 추측됨) 1. 카카오톡 대화방 먼저 카카오톡 대화방입니다. 위에 보이는 사진과 같이 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
2020.04.24#1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 오늘은 Magnet Axiom 툴을 이용한 카카오톡 포렌식에 대해서 다뤄보도록 하겠습니다. 먼저 Axiom을 켜줘야겠죠? 먼저 Axiom을 실행시켜주고 상황에 맞게 케이스를 입력해줍니다. 케이스 상세 정보를 입력해 주었다면, 증거 소스로 이동합니다. 증거 소스를 컴퓨터 - Windows - 증거 로드 - 파일 및 폴더 순으로 들어가 줍니다. 먼저 필자는 라이브 포렌식을 진행할 것입니다. 만약 이미지를 가지고 있다면, 이미지를 선택해주세요 저는 C드라이브에 카카오톡이 설치되어있기 때문에, 메인 드라이브인 C드..
[Magnet] Magnet Acquire 사용법
[Magnet] Magnet Acquire 사용법
2020.04.19오늘은 Magnet Acquire 프로그램 사용법에 대해서 알아보도록 하겠습니다. Magnet Acquire의 경우 수사기관, 정부기관에게만 제공된다고 합니다! 먼저 프로그램을 실행시켜 줍니다. 처음 키게 된다면 장치를 검색하게 됩니다. 검색이 완료되면 컴퓨터와 연결된 모든 디바이스와 디스크에 대해서 보여주게 됩니다. 저는 iPhone6를 대상으로 이미지를 취득해 보겠습니다. 아이폰을 선택해준후 다음을 눌러주면 위와 같이 빠른 또는 전체 스캔을 고를수 있습니다. 하지만 아이폰에 탈옥 이 되어 있지 않은 아이폰의 경우 전체 스캔을 사용할수가 없습니다. 필자는 탈옥을 하지 않은 아이폰을 상대로 이미징을 해보도록 하겠습니다. 다음을 눌러 줍니다. 증거 폴더 이름과, 이미지 이름, 조사관, 증거 번호, 설명에 ..
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
2020.03.07[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. [ 문제 : Magnet Axiom Process 가 Android 기기를 감지할 수 없습니다! ] 컴퓨터와 장치를 준비한 후 Manget AXIOM Process가 여전히 장치를 감지하지 못하면 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다운로드하세요. 가능한 해결책 : 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다..
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다. 모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자. 더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자 수집할 수 있는 이미지에는 두 가지 유형이 있습니다. 빠른 이미지는 사용..
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
2020.02.01[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 Axiom Process 맞춤설정에 대해서 다뤘었다. 오늘은 이미지 수집을 위한 모바일 장치 준비에 대해서 다루도록 하겠다. iOS 또는 Android 장치에서 이미지를 수집하기 전에 컴퓨터 및 장치가 올바르게 설정되어 있는지 확인하자. 컴퓨터 설정에 대한 자세한 내용은 시스템 요구사항 부분을 참고하도록 하자. [ 모바일 장치 준비 ] Magn..
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 증거분석에 대해서 다뤘었다. 오늘은 Magnet Axiom Process 맞춤설정에 대해서 다루도록 하겠다. Magnet AXIOM Process를 사용하기 전에 진단 정보를 Magnet Forensics(Company)에 제공할지, 소프트웨어 업데이트를 자동으로 수신할지, 검색 중에 컴퓨터가 절전 모드로 전환되지 않도록 할 것인지 등의 일반 설..
MAGNET Axiom - User Guide (Korean) #5 증거 분석
MAGNET Axiom - User Guide (Korean) #5 증거 분석
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 아티팩트 상세 정보에 대해서 다뤘었다. 오늘은 증거 분석에 대해서 다루도록 하겠다. Manget AXIOM Process에서 각 섹션의 구성을 마치면 증거 분석을 클릭하여 증거 검색을 시작한다. Magnet AXIOM Examine이 자동으로 열리고 복구된 증거가 표시된다. 증거 분석 화면에는 스캔 진행 퍼센 트와 검색 정의 및 스레드 세부 정보..