[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
2020.04.16오늘은 아이폰 기본 기능 중 "가리기" 기능을 통해서 가려진 사진도 포렌식이 되는지 확인해 보도록 하겠습니다. 가리기 기능은 갤러리에서 사진을 선택후 옵션 버튼을 통해서 가리기를 사용할 수 있습니다. 먼저 저는 6개의 사진을 가려보았습니다. 이제 분석을 진행해 보도록 하겠습니다. 먼저 Axiom을 실행시켜주고, 새로운 케이스 생성을 클릭해줍니다. 케이스 번호와, 케이스 유형, 파일 경로, 스캔한 사람에 대해서 작성해 주고, 증거 소스로 이동해 줍니다. 저는 미리 이미징을 떠두지 않고, 이미징과 동시에 분석을 진행해 보려고 합니다. 아이폰을 연결하고, 위 사진과 같이 증거를 탑재합니다. 아이폰이 탈옥이 되어 있다면, 전체 이미징 기능이 활성화 되있을 것입니다. 하지만 탈옥이 되어 있지 않다면, 빠른 이미징..
[Autopsy] #1 - Autopsy 설치하기
[Autopsy] #1 - Autopsy 설치하기
2020.04.14오늘은 Autopsy 설치 방법에 대해서 알아보도록 하겠습니다! 설치 파일 다운로드는 아래의 경로와 같습니다 https://www.autopsy.com/download/ Autopsy | Download Download Autopsy Version 4.14.0 for Windows Download 64-bit Download 32-bit Download for Linux and OS X Autopsy 4 will run on Linux and OS X. To do so: 3rd Party Modules 3rd party add-on modules can be found in the Module github repository. From this repos www.autopsy.com 본인의 운영체제에 맞..
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
2020.03.31https://github.com/kim-do-hyeon/volatility-gui/blob/master/ui.py kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 그래픽 처리 소스는 아래와 같습니다. import os import sys import pathlib import subprocess import plugin from datetime import datetime from PyQt5 import uic from PyQt5.QtGui import * from PyQt5.QtWidgets im..
[ Volatility GUI ] 볼라틸리티 GUI 환경 구축하기
[ Volatility GUI ] 볼라틸리티 GUI 환경 구축하기
2020.03.31https://github.com/kim-do-hyeon/volatility-gui kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 먼저 파일을 위 깃헙에서 받을수 있습니다. [ GUI 그래픽 파일 ] https://github.com/kim-do-hyeon/volatility-gui/blob/master/gui.ui kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by cr..
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
2020.03.31[ CMD - Scheduled Task / Job Information ] schtasks schtasks /query /fo LIST /v schtasks /query /fo LIST /v | findstr "Task To Run:" schtasks /query /fo LIST /v | findstr "appdata" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "exe" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "Task" schtasks /query /f..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
2020.03.29Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 : https://blog.system32.kr/127 Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자.. blog.system32.kr 인스타그램 포렌식에 대한 분석 방법은 위에서 확인할 수 있습니다. 결과 분석이 완료되었으면 우측 하단에서 먼저 시간대를 국가에 따라서 바꿔줍니다. 시간을 바꿔주면 바로 분석을 시작합니다. 총 10,803개의 증거가 ..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
2020.03.29오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자 명을 적어주었습니다. 증거 소스 - CLOUD 를 선택해 줍니다. 증거 소스 - Cloud - 증거 인식을 선택합니다. 위의 체크박스를 선택해주면, 아이콘과 같이 수많은 플랫폼의 클라우드를 포렌식 할 수 있습니다. 오늘은 인스타그램 포렌식을 진행하도록 했으니 인스타그램을 선택하겠습니다. 인스타그램을 선택해주면 INSTAGRAM PUBLIC ACTIVITY 또는 INSTAGRAM USER ACCOUNT 둘중 하나는 선택할 수 있습니다. 먼저 INSTAGRAM PUBLIC ACTIVITY를..
[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
2020.03.07[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. [ 문제 : Magnet Axiom Process 가 Android 기기를 감지할 수 없습니다! ] 컴퓨터와 장치를 준비한 후 Manget AXIOM Process가 여전히 장치를 감지하지 못하면 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다운로드하세요. 가능한 해결책 : 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다..
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다. 모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자. 더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자 수집할 수 있는 이미지에는 두 가지 유형이 있습니다. 빠른 이미지는 사용..
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
2020.02.23https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 기존의 방법과 같은데 위에서 언급한 방법은 방문 기록, 히스토리가 아닌, 북마크와 즐겨찾기의 기록이었다. 오늘은 정확한 방문 기록, 히스토리 포렌식에 대해서 다루도록 하겠다. \private\var\mobile\Containers\Data\App..
[NEWSECU] 2020 NEWSECU CHALLENGE - Event Question 1~3
[NEWSECU] 2020 NEWSECU CHALLENGE - Event Question 1~3
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Network
[NEWSECU] 2020 NEWSECU CHALLENGE - Network
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Disk
[NEWSECU] 2020 NEWSECU CHALLENGE - Disk
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Do you know ZIP?