1q

15.10.10일에 있었던, 국방부 주최 Withcon 대회문제를 풀면서 Forensic에 대해 흥미가 많이 생겼다. 메모리 포렌식은 전 부터 중요하다고 느끼기만 하다가, 이번 계기로 한번 공부를 하려고 한다. volatility Plugin의 기본적인 뼈대 - __init__ : 플러그인 클래스의 초기화 담당하는 함수이고, 해당 함수에는 보통 플러그인의 추가 옵션을 정의. - help : 플러그인의 옵션을 출력. - calculate : 플러그인의 기능이 정의되고 수행(필수적으로 사용해야 하는 함수) - render_text : calculate에서 수행되고 리턴되는 값은 해당 함수로 전달되어 알맞은 포맷으로 출력. * __init__ 과 calculate와 render_text 가 많이 쓰인다. 아래..

볼라틸리티를 이용한 메모리 분석 방법론 침해 사고가 발생해 악성코드 감염이 의심되는 시스템에서 생성한 메모리 덤프 파일을 분석하기 위해서는 [그림 14]와 같은 6단계의 절차를 이용하여 메모리 분석을 진행할 수 있다. 볼라틸리티를 이용한 각 단계별 분석 과정과 주요 프레임워크 명령어는 다음과 같다. 1) 운영체제 분석 메모리 덤프 파일을 생성한 운영체제가 어떠한 버전의 운영체제인지 확인하는 과정을 거치게 된다. 이 단계에서 확인한 운영체제 버전에 따라 향후 이루어지는 메모리 분석의 방향과 분석에 적용될 볼라틸리티의 명령어가 다르게 사용될 수 있다.  imageinfo - 생성한 메모리 덤프 파일의 운영체제, 서비스 팩(Service Pack)과 하드웨어 정보 나열 2) 프로세스 분석 윈도 시스템에서 동..

파일 시스템이 깨진 USB를 포렌식 관점에서 이미징 하는 방법을 알아보겠습니다.이미징을 하기 전에 아래의 URL로 가서 논리적으로 쓰기방지 장치를 설정합니다. 물리적 쓰기방지 장치는 비싸고 일반인은 구할 수가 없어서 논리적으로라도 쓰기방지 장치를 해야 해쉬값이 변하지 않습니다.* http://suspected.tistory.com/entry/Win7-%ED%99%98%EA%B2%BD%EC%97%90%EC%84%9C-%EB%85%BC%EB%A6%AC%EC%A0%81-%EC%93%B0%EA%B8%B0%EB%B0%A9%EC%A7%80 일단, 파일 시스템이 깨지게 되면 아래와 같은 창이 뜹니다. 디스크 포맷을 할 경우에는 USB 파일 시스템의 무결성이 깨지기 때문에 해쉬 값이 달라지므로 법정에서 증거물 효과를 ..

사본 이미지를 생성하기 전에 물리적 쓰기 방치가 없는 경우에는 논리적 쓰기 방지 장치로 진행해야 한다. 여기서 논리적 쓰기 방지 장치를 설정하는 방법의 3가지를 알아보도록 하자.1. 레지스트리를 이용한 방법1-1. 실행 창에 'regedit' 입력1-2. HKLM\SYSTEM\CurrentControlSet\Control\ 경로에 들어가서 StorageDevicePolicies 키 값을 새로 만든다. ### 한글자라도 틀리면 안 된다.1-3. StorageDevicePolicies 키 값 생성 1-4. StorageDevicePolicies 키 값을 누르고 오른쪽 화면에서 DWORD 값을 누른다. 1-5. WriteProtect 이름으로 생성하여 값 데이터를 1로 변경한다.(0으로 줄 시에 쓰기 방지 장..