BLOG

2024년 07월 13일 미국 펜실베니아 주에서 2024년 미국 대통령 선거 공화당 후보인 도널드 트럼프 전 미국 대통령을 대상으로 발생한 총격 사건이 발생 FBI는 총격범(Thomas Mattew Crooks)의 핸드폰을 입수 수사관들은 총격범의 동기와 MindSet을 파악하기 위한 분석을 진행하고 있으나 아직 단서가 없음. 이렇게 늦게 수사가 진행되는 이유를 알려면  전자 기기 수사 분석 프로세스에 대한 자세한 사항을 파악해야함. 1. 법 집행기관, 특수기관은 다양한 증거 분야를 전문으로 하는 법의학(포렌식) 부서가 있음.2. 범죄현장조사팀은 지문과 현장의 개체를 수집3. 의료전문팀은 시체를 조사4. 화기전문가는 탄도학에 대해 초점을 맞춤5. 전자기기에 대해서는 디지털 포렌식 팀에서 담당6. 컴퓨터,..

#  AFF4의 탄생 이유E01 파일 형식의 과도한 CPU 사용, 불완전한 메타데이터 저장, 선형 비트스트림 접근 복사 방법, 특유의 압축 방법 등으로 인해 좀 더 효율적인 이미지를 만들기 위한 파일 포맷의 필요성 때문  # AFF4의 장점- 오픈소스 포맷- 비선형 Multi-Pass 이미징 지원- Snappy 와 LZ4등 빠른 압축 방법 지원- Block Hashes- 연속된 0을 저장하지 않고 메타데이터로 관리해 불필요한 공간 낭비 최소화- 법의학적으로 재현 가능한 부분 비선형 이미지- E01과 달리 공급업체가 중립적임 # AFF4 용어- AFF Object : AFF4 포맷의 기본 구성 요소. 전역 고유 이름(URN)을 보유하고있음. Object는 전부 이름으로 주소 지정이 가능함- An Evide..

Q2. Identify the partition information of PC image. - PC 이미지의 파티션 정보를 식별할 것 해당 시나리오의 PC Image 파일은 다음과 같음 cfreds_2015_data_leakage_pc.e01 ~ e04 해당 이미지의 총 파티션 갯수는 2개로 확인 됨 Partition1의 상세정보를 확인했을 때, System Reserved(시스템 예약) 파티션이며, 파일시스템은 NTFS, 100MB 용량을 가지고 있는 것으로 확인됨. Partition2의 상세정보를 확인했을 때, Windows Installation(윈도우 설치)된 파티션으로 확인되며 컴퓨터의 이름, 소유자, 윈도우 버전, Windows 설치 날짜 등 확인 가능함. 파일 시스템이 NTFS인 것과 19..

Q1. What are the hash values (MD5 & SHA-1) of all images? Does the acquisition and verification hash value match? - 이미지 파일의 MD5와 SHA-1 해시 값이 무엇이며, Acquisition 값과 Verification 값이 동일한지 확인 cfreds_2015_data_leakage_pc.E01 FTK Imager에 이미지 파일 중 cfreds_2015_data_leakage_pc.E01을 탑재한 뒤 Hash 값을 확인 크로스체크를 위해서 X-ways Forensics에서도 확인 MD5 : a49d1254c873808c58e6f1bcd60b5bde SHA1 : afe5c9ab487bd47a8a9856b1371c2..

https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html CFReDS - Data Leakage Case Data Leakage Case The purpose of this work is to learn various types of data leakage, and practice its investigation techniques. Scenario Overview ‘Iaman Informant’ was working as a manager of the technology development division at a famous internation cfreds-archive.nist.gov 시나리오 존재 분석 목표 존재 시나리오..

Computer Forensic Reference DataSet (CFReDS) 컴퓨터 포렌식 참조 데이터 세트 라는 뜻의 축약어로, National Institute of Standards and Technology (NIST) 미국 국립표준기술연구소에서 디지털 증거를 위해 조사관에게 조사용으로 제작하고있는 데이터 세트임. NIST에서만 제작해서 업로드하는 사이트가 아닌 다른 사용자들도 데이터셋을 제작 후 업로드 할 수 있음. 조사관 시각에서 실제 사례를 진행하는 것 처럼 분석을 진행할 수 있는 데이터도 있어서 학습에 용이함. https://cfreds.nist.gov/ CFReDS Portal cfreds.nist.gov

NTFS 파일시스템 전반적인 것에 대해서는 따로 작성되어있고 될 것임. 본 글에서는 BootSector 통해 파일시스템 복구에만 집중함. 우선 들어가기 전 Boot Sector가 손상되는 원인을 알아보도록 한다. 1. Malware / Virus 감염으로 인한 BS 파괴 2. 컴퓨터가 작동하는 동안 갑작스런 인터럽트 발생 3. OS 설치 또는 업데이트 도중 오류 4. 저장장치의 물리적 손상 등 여러 오류가 있음 Boot Sector는 보통 자신의 복사본인 Backup Bootsector를 같은 드라이브에 보유하고 있음. (전체가 망가지지 않았다면) 본격적인 파일시스템 복구에 들어가기 앞서 사용할 파일/소프트웨어는 다음과 같다 - dd 이미지 파일 - FTK Imager - HxD Hex Editor FT..

Event Log는 단어 그대로 Event(사건) Log(이력) 이라고 이해하면 감이 올 것. Windows의 운영체제는 Event Log라고 정의된 데이터를 생성하고 기록하며 사용자가 확인이 가능함. 하지만 Event Log에 기록되는 정보는 너무 방대하고 분석하기 힘들기에 조금이라도 도움이 되기 위한 글을 작성한다. [ Event Log 파일들의 저장 경로 ] - C:\Windows\System32\winevt\Logs (Windows7,8,10) - C:\Windows\System32\config (WindowsXP) [ 파일 특징 ] - evtx 확장자로 저장되며, 파일을 더블클릭 해 실행하면 Log 내용을 확인할 수 있다. - 해당 파일만 따로 복사하여 다른 컴퓨터에서 확인도 가능하다. (Win..