🏰 🏰

SECURITY/FORENSICS

• FTK Imager 설치 및 내 디스크 이미지 덤프하기

  SECURITY/FORENSICS 2020. 10. 25. 20:13

  1. 설치 1) FTK 다운로드 홈페이지에 접속 (accessdata.com/product-download) 2) FTK Imager 클릭 후 Download Page 클릭 3) DOWNLOAD NOW 클릭 (이 후에 이메일 등을 입력하면, 이메일로 다운로드 링크를 보내준다.) 2. 내 디스크 이미지 덤프하기 1) File -> Create Disk Image 2) Physical Drive 선택 - Physical Drive : 물리적 드라이브 (HDD 전체를 지정) - Logical Drive : 논리적 드라이브 (HDD 를 C, D 등으로 분할하여 사용할 경우 이 옵션 선택) - Image File : 이미징 파일 - Contents of a Folder : 특정 폴더의 콘텐츠 3) 해당하는 디스크..

  Read More
• 이미지 파일 통합분석 도구 :: FTK, Encase, X-Ways Forensics

  SECURITY/FORENSICS 2020. 10. 25. 20:13

  0. 이미지 파일 통합 분석 도구 이미지 파일 분석에서 필요한 기능을 통합하여 하나의 도구로 구현한 것으로, FTK, EnCase, Forensic Explorer, X-Ways Forensics, BlackLight, Autopsy, Mac Marshal Forensic Edition 등이 있다. (FTK 와 EnCase 가 전세계 포렌식 도구의 쌍벽을 이룬다..) 1. FTK (Forensic Tool Kit) : AccessData 에서 만든 통합 포렌식 도구. Windows 환경에서 실행 가능한 사용 소프트웨어로, 공식홈페이지에서 약 529만원에 구입 가능하다. 데이터베이스를 사용하여 분석 데이터를 관리하는 것이 특징이며 Postgre라는 데이터베이스를 사용한다. 또는 사용자 운영체제에서 MS S..

  Read More
• 디스크 이미지 파일이란?

  SECURITY/FORENSICS 2020. 10. 25. 20:12

  1. 디스크 이미지 파일 (Disk Image) : 전체 디스크의 모든 내용과 구조를 저장하는 파일 CD, DVD, Blu-Ray 디스크, 하드 디스크, USB 등의 디스크를 복사하는 것으로, 파일, 폴더, 속성 및 디스크 이름과 같은 소스의 모든 속성이 유지된다. 따라서 디스크의 백업 사본을 저장하는 방법이 될 수 있고, 운영체제 등의 소프트웨어를 디스크 이미지로 제공하여 다운받아 사용할 수 있게 제공하기도 한다. 이런 성질을 이용하여 디스크 이미지를 별도의 가상 CD/DVD 소프트웨어를 이용하여 마치 실제 CD/DVD 미디어를 사용하는 것처럼 에뮬레이트하는 데 쓸 수도 있다. (이렇게 디스크 이미지를 드라이브에서 사용하는 것을 마운트라고 한다. 가상 머신을 실행하고 Ubuntu 디스크 이미지를 마운트..

  Read More
• 디지털 포렌식이란? :: 네트워크 포렌식, 모바일 포렌식, 디스크 포렌식

  SECURITY/FORENSICS 2020. 10. 25. 20:10

  0. 디지털 포렌식이란? (Digital Forensic) : 디지털 기기 또는 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사 기법 컴퓨터와 인터넷을 통한 정보의 흐름을 조사하고 범죄 사실에 대한 증거를 확보하는 기술을 말한다. 크게 증거 수집, 증거 분석, 증거 제출과 같은 절차로 구분된다. - 증거 수집: 디지털 저장 매체에 있는 데이터를 취합하는 과정. 원본 데이터의 무결성을 보장하는 이미징 기술 등을 사용한다. - 증거 분석: 수사에 필요한 유용한 정보를 데이터 속에서 끌어내기 위해 분석하는 가정. 일부 데이터가 숨겨져 있을 수 있으므로 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술 등을 사용한다. - 증거 제출: 증거 자료의 신뢰성을 확보하고 법정 증거로 채택..

  Read More
• FORENSICS 시작하기 - 패킷 분석 도구 :: Wireshark, NetworkMiner

  SECURITY/FORENSICS 2020. 9. 17. 21:51

  1. Wireshark : 오픈 소스 패킷 분석 프로그램 (다운로드는 여기서 할 수 있다. -> www.wireshark.org/download.html) (참고) 처음 배포되었을 때에는 이름이 Ethereal(이더리얼) 이었으나 상어가 패킷을 잡아먹는 것과 유사하다고 하여 이름을 바꾸게 되었다. pcap 네트워크 라이브러리를 이용하여 패킷을 잡아낸다. 무차별 모드(promiscuous mode) 를 지원하여 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다.(100%는 아님) 1.1 Wireshark 사용법 wireshark 를 실행시키면 이런 화면이 나온다. 원하는 네트워크를 눌러서 패킷 캡처를 시작할 수 있다. 상단 메뉴 File 캡처 데이터를 열거나 저장 Edit 패킷 찾거나 표시, 프로그램 속성 ..

  Read More
• FORENSICS 시작하기 - 네트워크 기초 04 :: FTP, HTTP, HTTPS

  SECURITY/FORENSICS 2020. 9. 16. 22:57

  1. FTP (File Transfer Protocol) : TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 교환을 하기 위한 프로토콜 이는 인터넷 프로토콜 스위터 (네트워크 계층에서) 에서 응용 계층 (HTTP, HTTPS 등) 에 속하고, 1971년에 최초로 등장하여 역사가 오래됐으나 지금도 자주 사용된다. 하지만 보안 취약점이 상당수 존재한다. (일단 비밀번호가 평문으로 전송됨..) - 두 개의 포트 사용 (프로토콜 TCP 20, 21번) - 명령 연결(Control Connection) 과 데이터 연결(Data Connection) 의 두 명령이 존재하고, 파일이 전송될 때는 데이터 연결이 새롭게 만들어진다. 각각 21번, 20번 포트(혹은 1024 이후 포트)를 사용한다. - 효율을..

  Read More
• FORENSICS 시작하기 - 네트워크 기초 03 :: IP 주소, 도메인, DNS, 쿠키와 세션, URL 등

  SECURITY/FORENSICS 2020. 9. 16. 22:26

  1. IP 주소 (Internet Protocol address) : 컴퓨터 네트워크에서 장치들이 서로를 인식하기 위해 사용하는 특수 변호로, 모든 장치는 고유의 번호를 가진다. (ip 는 인터넷 규약 자체를 가리키는 말이기 때문에 IP 주소와 엄밀하게는 구별해서 불러야 한다!) 현재 사용하는 IP 주소는 다음과 같이 4개의 10진수 형태로 구성된다. xxx.xxx.xxx.xxx ex. 121.147.40.84 이때 각 10진수는 8자리 2진수를 의미하는 것이므로, 총 32 bit 로 구성되는 것이다. 121.147.40.84 ≡ 01111001 . 10010011 . 00101000 . 01010100 121 147 40 84 xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx 011110..

  Read More
• FORENSICS 시작하기 - 네트워크 기초 02 :: 프로토콜 상세

  SECURITY/FORENSICS 2020. 9. 13. 21:35

  1. TCP (Transmission Control Protocol) : 연결형 서비스를 지원하는 데이터 통신 프로토콜의 일종. (말 그대로 연결해야 통신할 수 있는 프로토콜이다.) 세계 통신표준으로 개발된 OSI 계층 모형에서 4번째 계층인 전송 계층 (Transport Layer) 에서 사용하는 규약으로, 하위 계층인 인터넷 계층에서 사용하는 IP 와 엮어서 TCP/IP 라고 많이 표현한다. - 전송 계층은 IP 에 의해 전달되는 패킷의 오류를 검사하고 재전송 요구 등의 제어를 담당하는 계층. (전송 계층 프로토콜은 운영체제 내부 기능으로 구현되므로 사용하려면 상위 계층에서 시스템 콜이라는 프로그램 호출 방식을 이용해야 한다.) 데이터를 세그먼트(Segment)라는 블록 단위로 분할해 전송하는데, 핵..

  Read More