포렌식툴중 널리 알려진 encase에 대해서 포스팅 합니다.



교육중 실습이 시간이 아주 충분하진 않았다고 생각됩니다.간략하게 활용정도..^^
아시다시피 encase는 동글키(USB 보안장치)가 있어야 하지만 교육사정은 그렇지 못합니다.
동글키가 없다면, 증거이미지만 생성할 수 있고, 실제로 수사를 할 수는 없다.
그렇지만 교육은 어떻게 받았습니다..^^;



명심하라!!!!!!!!!
불법소프트웨어로 추출한 증거자료는 법적에서 증거자료로 인정 받지 못한다.


Encase 란..

1998년 Guidance Software Inc. 가 사법기관 요구사항에 바탕을 두고 개발한 컴퓨터 증거 분석용 소프트웨어이다.컴퓨터 관련 수사에서 디지털 증거의 획득과 분석 기능을 제공하며

미국에서 90년대 후반부터 600여개 사법기관에서 컴퓨터 관련 범죄 수사에서 encase가 활용되고 있으며 미국 법원이 증거 능력을 인정하는 독립적인 솔루션이다 (2001년 Enron사 회계부정 사건) Windows 환경에서도 증거원본 미디어에 어떠한 영향도 미치지 않으면서 미리보기, 증거사본작성, 분석, 결과보고에 이르는 전자증거 조사의 모든 과정을 수행 할 수 있다.

 

Encase 제품군은 다음과 같다.

- Encase Forensic : 로컬 컴퓨터 하드디스크의 기본 분석 도구

- Field Intelliegence Model(FIM)

: 네트워크 컴퓨터 및 서버의 휘발성 자료를 포함한 증거 파일 획득 및 조사가 가능,

..수사 기관용으로 Enterprise 축소판

- Encase Enterprise

: 기업의 Live 시스템 및 파일에의 접근과 분석이 가능하여 사고대응 시간을 줄일 수

있음, 관제로 활용

 

Encase 지원 파일 시스템은 다음과 같다.

- FAT12, FAT16, FAT32

- NTFS

- EXT2,EXT3

- CDFS

- HFS, HFS+(MAC파일시스템)

- PALM(Palm-PAD파일시스템)

-UFS(unix 파일시스템)

cf> XFS파일시스템은 지원하지 않음, 임베디드 리눅스일부에서 사용하는 파일시스템

 

이제 encase를 실행시켜보자..(교육중 받은 demo 위주로 화면 캡쳐합니다.)


사용자 삽입 이미지

 

 

Run EnCASE DEMO 를 클릭 하면 다음과 같다.

사용자 삽입 이미지

ncase를 실행했으니 기본적인 옵션 세팅을 시작합니다.

Tool -> Options

 

사용자 삽입 이미지

Data : yy/MM/dd

Time : 24:00:00

Show True : Yes 로 변경


사용자 삽입 이미지




Encase 기본 메뉴화면은 다음과 같다.

데모라 New 클릭이 안됨..ㅋㅋ

 

사용자 삽입 이미지


New :  새로운 분석창을 띄우는 메뉴

Open : 기존에 저장한 분석 파일을 여는 메뉴 확장자는 .cas .case로 됨

Save all  : 지금까지의 작업 상태를 보존하며 cas, case로 저장됨

 

File -> New 클릭하면 다음 메뉴가 나온다.



사용자 삽입 이미지

분석관련 파일을 별도의 드라이브(OS와 분리된)를 사용하고 분석후에 wiping 하는것이 바람직하다.


보다시피 메뉴가 변경있다..(이미지 내용은 데모에서 제공된 이미지 파일 내용임)

사용자 삽입 이미지
 

Table Pane의 기본 메뉴에 대해서 알아본다.

사용자 삽입 이미지


Table 메뉴

- 파일에 대한 속성등 파일에 대한 전반적인 사항이 나열됨(총 38개?)


사용자 삽입 이미지

Name : 파일 이름

Description : 파일의 속성, 파일인지 폴더인지 삭제 여부와 Overwrite 여부등을 나타냄

-         Deleted File(folder) : 파일이 삭제되었고 겹쳐쓰기 되지 않음 ,완전 복구 가능

-         Deleted, Overwritten file : 삭제되고 다른 파일에 의해 덮어써짐, 완전복구 불가능

-         Deleted, Overwritten folder : 삭제되고 다른 파일에 의해 덮어써진 폴더

 

IS Deleted : 삭제 파일에 체크되는 부분

Last Access : 마지막 파일 접근시간

File Created : 파일 생성 시간

Last Written : 파일 수정 시간

파일과 폴더의 Type

-         invalid Cluster : Directory entry가 파일명을 가지고 있지만 시작 클러스터 값을 가지고있지 않은 경우로 보통 시작 클러스터가 0으로 변경됨, 파일 내용이 어디에 있는지 알지 못함

-         Folder, Invalid Cluster : File Type bit Folder로 지정되고 시작 클러스터가 0으로 지정된 Directory Entry

-         Moved File/Folder : 파일 이동시 directory Entry 삭제되고 새위치에 만들어짐

-         Unallocated Space, MBR, Unused Disk Area, FAT Tables, Volume Slack : 시스템이 관리하는 디스크의 특정영역으로 어떤 파일도 이 영역을 할당받아  사용하고 있지 않음을 뜻함

-         Internal File : NTFS, HFS, EXT2와 가은 OS에 의해 생성되는 파일

-         Recycled Bin : 대상 컴퓨터의 휴지통

-         Lost File : NTFS 파일 시스템에만 나타남, Parent 가 삭죄되어서 자신의 위치를 찾을수 없는 파일

 

 

 

Gallery 메뉴

그림 파일을 한눈에 알아 볼수 있도록 구성

성인 컨텐츠에 대한 증거 수집시 편하게 수사하기 위한 기능

 

 

사용자 삽입 이미지

 

Time Line 메뉴

파일을 시간대별로 확인

생성/수정/접근/삭제시간 별로 표시가 가능

용의자 알리바이, 사건 정황등을 파악하는데 목적이 있음

사용자 삽입 이미지
            

 

View pane의 매뉴를 살펴 본다.

사용자 삽입 이미지

Text : 해당 파일의 내용을 text 형식으로 보여줌

Hex : 해당 파일의 내용을 16진수 형식으로 보여줌

Picutre : 이미지인 경우만 보여줌

Doc  : 외부 프로그램과 연결된 경우 바로 파일의 내용을 보여줌

Transctript : 일부 깨지는 내용은 호환되는 부분만 변경해서 보여줌

Report :해당 파일에 대한 보고서, 파일의 속성, 권한등을 보여줌


이것으로 encase 관련 간략한 소개 및 화면 구성에 대해 마무리 합니다.

다음 포스팅에서는 증거 이미지 생성해서 분석하는 방법에 대해서 포스팅 해봅니다.

 

'업무 > 보안' 카테고리의 다른 글

CFE...  (0) 2009.05.29
포렌식 - encase2  (0) 2009.05.25
한국CISSP협회 제 3 회(부산) 정보보호리더십 세미나 - 부산 동명대  (0) 2009.05.14
메신저 사기인듯...  (0) 2009.05.12
포렌식 - 네트워크포렌식  (0) 2009.05.11
Posted by ^________________^
,
[ 한국CISSP협회 제 3 회(부산) 정보보호리더십 세미나 - 영남지역 ]


주제 : CISSP의 가치와 Vision
주최 : 한국CISSP협회
후원 : 동명대학교 정보보호학과, 한국CISSP협회 영남지부

- 일시 : 5월23일(토)  오전 10시 ~ 12시
- 장소 : 동명대학교 동명관 105호 약도
           부산광역시 남구 신선로 179번지
- 혜택 : 4 CPE 부여
- 비용 : 무료
- 사전등록 : general@cisspkorea.or.kr

* 특별한 양식없이 상기의 계정으로 신청해주시기 바랍니다.
* CISSP 및 시험합격자는 소속/CISSP NO/영문 풀네임/성명(한글)/연락처를 기재하여 보내주세요.
* 일반참석희망자는 소속/이름 을 기재하여 보내주세요.



AGENDA

 

시간

 

 

세션

 

09:30 – 10:00

접수 등록 및 세미나 자료 배부

 

10:00 – 10:15

CISSP 및 한국CISSP협회 소개

신수정 회장

한국CISSP협회, 인포섹 전무

 

10:15 – 10:45

Global 보안관련 직업 현황 및 CISSP의 위상

강용남 이사

한국CISSP협회, 델 인터내셔널 이사


10:4511:15

국내 보안관련 직업의 트렌드와 CISSP의 가치

조희준 이사

한국CISSP협회, KISAC 책임컨설턴트

 

11:15 – 11:45

정보보호 Hot Issue

허종오 이사

한국CISSP협회, 안철수연구소 선임연구원

 

11:45 – 12:00

Q&A

 

12:00

폐회


'업무 > 보안' 카테고리의 다른 글

포렌식 - encase2  (0) 2009.05.25
포렌식 - encase 활용1  (0) 2009.05.16
메신저 사기인듯...  (0) 2009.05.12
포렌식 - 네트워크포렌식  (0) 2009.05.11
포렌식 - DB포렌식  (0) 2009.05.07
Posted by ^________________^
,
2009-05-12 오전 9:40:09 퇴사-[XXX]
XXX
[투라] 자리에있엉?
2009-05-12 오전 9:40:54 [투라] 퇴사-[XXX]XXX 음..XX씨?
2009-05-12 오전 9:41:27 퇴사-[XXX]XXX [투라] ㅇㅇ



퇴사한 여직원인데..

저랑 반말하고 그러진않거든여..이상하다가 싶어서..

XX씨? 물어봤더니..

대답하고는 좀 있따가 로그 아웃하네여..

아무래도, 패스워드 유출에 이은 메신저 사기가 아닐까 싶어서..
어떻게 하려나 싶어서 가만 두고 봤는데..
걍 로그아웃하네여...ㅡㅡ;;

마침 옆자리 여직원한테는 돈 빌려 달라고 했다는데..
마침 돈이 없어 안 붙였기 망정이지..
당할뻔 했습니다..

메신저로 돈 요구하는 경우는 꼭 입금전에 유선상으로 확인하는 습관이 필요할듯합니다.

특히 패스워드는 추측가능한 패스워드는 절대 쓰지 말고 관리도 잘 해줘야할듯합니다.

친한친구 였으면 저도 당했을지도 모르겟습니다..
항상 조심 또 조심해야할듯합니다..

Posted by ^________________^
,

작성자 : 투라 (extraman@boanin.com )

편집자 : 엔시스

 

오늘은 네트웍 포렌식입니다..

타이틀은 네트웍이지만, 실질적으로 네트웍&시스템 포렌식 수업을 해서..

중복 내용이 많습니다.

 

리뷰하는 마음으로 주욱 써 내려갑니다.

 

일단 증거수집과정의 운영 지침으로..

-         가능한 모든 자료를 수집하라,

-         날짜나 시간도 포함하여 자세히 기록 한다.( 시간차 기록)

-         언제 증명(법정 출두) 해야 할 지 모르므로, 자세한 기록이 중요하다.

-         수집과정에서의 데이터 변형을 최소화

-         수집(collection) 할 것인가 분석(analysis) 할 것인가를 선택해야 한다면

수집을 먼저하라

-         휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다.

-         프라이버시관련 법률이나 회사의 지침에 위배되지 않도록 유의한다.

 

이렇게 수집한 증거물들은 chain of custody 가 명확하게 문서화 되어야 한다.

-         언제, 어디서, 누가 증거물을 발견하였고, 수집 하였은가?

-         언제, 어디서 누가 증거물을 다루었고 검사 하였는가?

-         누가 어느 기간에 증거물을 관리했고, 저장되었는가?

-         언제 관리에 대한 변경이 일어 났고, 언제, 어떻게 이송이 되었는가?

 

증거수집을 위한 Tool 들..

-         프로세스를 검사하기 위한 프로그램 (ex> ps..)

-         시스템상태를 검사하기 위한 프로그램(ex> ifconfig. Netstat, arp..)

-         bit to bit 복사 가능한 프로그램 ( ex> dd, safeBack..)

-         체크섬이나 서명(signature)를 생성할수 있는 프로그램 ( ex> md5sum, sha1sum ..)

-         core image를 생성할수 있는 프로그램 ( ex > gcore, gdb)

-         증거 수집을 자동화 할수 있는 스크립트( ex> Ther Coroner’s tool Kit, fire…)

 

네트웍 포렌식에서 중요한 TCP/UDP Network 연결을 통해 데이터를 쓰고 읽을 수 있는

유틸리티인 Netcat에 대해 알아 본다.

 

http://netcat.sourceforge.net/

http://joncraton.org/files/nc111nt.zip

에서 리눅스와 윈도우 버전 down 가능하다.

 

조사 대상 시스템에서 dd 명령을 이용해서 파티션을 복사하고 이를 nc를 이용해서 분석할 시스템으로 전송하려면..

 

# nc –l –p 10000 > target.hdd2.dd (원격지 xxx.xxx.xxx.xxx 서버 )

# dd if=/dev/hda2 bs=1024 | nc xxx.xxx.xxx.xxx 10000 –w 3

-ㅣ ( Listen mode )

- p 10000 ( 10000 port use )

- w ( time out,  마지막 읽고 난뒤 종료할 시간 설정 )

 

Netcat 사용법은 중요하니 숙지 하시기 바랍니다.

슈퍼유저서버팀에서 작성한 netcat 사용가이드 참고 바랍니다.

 

Network 증거수집에서 다음과 같은 사항들을 고려하여 수집한다.

 

l       하드웨어와 운영체제 선택

-         OS는 리눅스계열로 불필요한 네트워크 서비스 중지하고 ,하드디스크는 증거 저장용 디스크와 os 디스크 물리적 분리, cable의 tx 부분을 자른다(제거)..

 

l       스텔스 모드(Stealth mode) 설정

-         antisniff 프로그램등의 추척 회피

 

l       네트워크 모니터링 소프트웨어 선택

-         Libpcap 기반의 프로그로토콜, snoop, iptrace등..

 

l       이벤트 모니터링

-         이벤트에 대한 룰 or 임계치 설정후 이벤트 발생시 경고 메시지 생성

 

l       네트워크 연결상태

l       동작중 프로세스 상태

l       로긴중 사용자정보

l       오픈된 파일 정보

l       스왑된 파티션 정보

l       로그파일

l       각종 운영체제 배포 CD

l       운영체제의 시스템 파일에 대한 MD5 해쉬값 및 바이너리 정보

l       백업에 필요한 충분한 디스크

 

마지막으로 말씀 드리는데요...Netcat 사용법에 대해서는 꼭 숙지 하시는게 좋습니다.

.이것으로 네트웍 포렌식도 마칩니다..

너무 대충인가여..^^;

 

다음에는 encase에 대해서 포스팅 해야하는데..

..이거 어떻게 포스팅해야할지..데모버전으로 최대한 해보도록 하죠..

 

 

 

Posted by ^________________^
,

5/4 연차 휴가 사용으로 5월초 황금연휴(?)가 되었네요..덕분에 포스팅이 또..^^;

애들 대리고 여기저기 가까운데만 다녔는데도 힘드네요..이놈의 저질체력...

 

오늘은 DB포렌식입니다.

 

DB증거자료의 추출 절차는

 

1.     운영체제 및 DB종류 및 설정 정보 확인

2.     DB 접속 후 Memory, User, Resources등의 휘발성 정보 추출

3.     DB 서버 압수 할 경우 DB shutdown O/S 종료

4.     목적자료만 추출 할 경우 DB or 운영체제상 명령어 이용 자료의 추출 및 복사

5.     DB운영자,개발자 있을 경우 DB설계 개념, 사용 목적 및 방법, 추가 백업데이터

여부조사

6.     추출된 데이터 베이스 복사본 or 저장 증거 파일의 해쉬값 계산,기록,확인 후 보관

 

DB증거 자료 추출시 고려 상황

l  대형범죄 아닌경우 시레 규모 큰 site에서 DB 전체 복제하는 일이 적음

è 저장 용량, 시간, 개인정보나 회사 기밀 정보의 유출등 문제점 있음

l  정보 추출 시 우선 ERD나 스키마 받아서 DB구조 분석

l  DB구조 파악 후 query 날려 필요한 부분만 덤프 뜨는 형식을 취함

l  덤프 받은 자료를 담당자 확인 후 압수(목록 작성 날인)

è 보통 압수과정에서 수사관 참여 하에 담당자가 직접 DB 덤프 or 담당자 입회 하에

.수사관직접 추출

l  기업체가 크고 중요한 DB가 많은 경우 수사관 실수로 치명적 결과 가져올 가능성

à Dump도중 DB나 테이블 삭제 or DB다운

è DB 관리자가 직접 필요 내용 추출하는 방법 많이 사용

 

DB 증거 자료 분석 절차

- 추출된 데이터베이스 복사본 및 증거파일의 해쉬 값을 생성하고 추출 시 작성된 문서의

기재된 값과 비교

- 휘발성 정보 획득 했을 경우, memory, process, file등의 자원 사용을 분석하여 사용

됐던 기능 및 상황 파악

- DB 증거에 맞는 O/S DB프로그ㅐㄻ을 구축하고 증거 파일을 복사 및 복제

- DB접속 프로그램 및 로그 분석 프로그램을 사용하여 자료구조, 자료 관계, 접속자,

사용내역, 자료 복구등을 목적에 맞게 실행하고 증거 획득

- DB 분석의 분석자, 분석 과정, 분석 결과 등의 세부 사항을 기록

 

그렇다면 언제 DB Snapshot을 작성해야 하는가….

l  DB에 대한공격 or 훼손이 발견 되었을 즉시

l  일정 횟수 이상의 DB 트랜젝션이 시행 되었을 때

l  일정시간 (매일,매주,매월 등..)

l  일정 횟수 이상의 DB 사용자 로그인/로그아웃

l  기타 시스템과 운영자 필요시

 

그럼 DB 포렌식의 주요 증거 자료 항목은 어떤것들이 있는가..

l  휘발성 DB Connection & Session 정보

l  DB 전체 or 특정 DB

l  DB Table 전체 또는 특정 Table 또는 특정 레코드

l  Meta 정보 DB 또는 Meta 정보 Table

l  DB 자체 Log

l  System Log

l  Application Log

 

위의 증거 자료들중 수집 우선 순위는??

 

1.     DB Server connections & Session

2.     TranSaction Log

3.     DB Server Log

4.     DB Server Files

5.     System Event Log

 

기타 DB 보안 설정 및 SQL Injection, 기타 로그 위치등은 많은 자료가 잇으므로 생략 합니다. 포렌식 자격시험에서는 DB쪽에서 SQL Injection의 흔적을 알 수 잇는 증거내용 이런게 있었는거 같습니다..

 

이정도로 DB에 대한 내용은 마무리합니다.

다음에는 network 관련 내용으로 포스팅 이어 갑니다.

토욜까지 포스팅 못할듯하고..늦어도 월욜까지는 포스팅 하도록 하겠습니다.

 

'업무 > 보안' 카테고리의 다른 글

메신저 사기인듯...  (0) 2009.05.12
포렌식 - 네트워크포렌식  (0) 2009.05.11
포렌식 - 리눅스 포렌식 2  (0) 2009.04.29
포렌식 - 리눅스 포렌식 1  (0) 2009.04.27
포렌식 - 윈도우 포렌식2  (0) 2009.04.23
Posted by ^________________^
,

리눅스 포렌식 두번째입니다

파일 복구 관련 내용을 포스팅 하기로 했죠..

 

파일이 오픈되어 메모리상에 올라와 있을경우 해당 파일이 삭제되도러도 복구가 가능한 상태가 있는데요..이런경우 어떻게 하는지 알아보겟습니다.

현재 프로세스 정보는 /proc/<PID>에서 확인 가능합니다.

 

메모리상에 올라온 파일 점유시 /proc 디렉토리 상태

#cd /proc/<PID>/fd  <PID>는 해당 프로세스 번호입니다.

#ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt

 

메모리상 올라온 파일 삭제시 /proc 디렉토리 상태

# ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt (deleted)

 

삭제된 파일의 복구는 파일 디스크립터 번호만 복사해 주는 것으로 가능

# ls -al

lrwx------ 1 root root 64 Apr 29 13:03 3 -> /dev/tty

lrwx------ 1 root root 64 Apr 29 13:03 4 -> /root/hidden.txt (deleted)

#cp 4 /tmp/4.recovered

 

이제 파일시스템 상의 삭제 파일복구에 대해 알아보기로 합니다.

리눅스 자체적으로 지원하는 파일시스템의 삭제파일 복구는 debugfs를 이용 합니다.

대부분의 리눅스 배포본에서 기본적으로 설치 되어 있습니다.

 

ext2파일 시스템에서는 특정 파일이 삭제시 실제 파일은 데이터 블록에 그대로 위치 하며,

i-node 테이블의 정보맘ㄴ 삭제되어 복구 가능합니다.

 

ext3 시스템에서는 i-node테이블 정보뿐만 아니라 디렉토리 엔트리, 해당 블록의 주소 정보까지 지워짐으로 파일의 위치정보가 대부분 삭제 됩니다. Logdump 이용 방법이 있으나 완벽하지 않습니다.

 

 

ext2에서 debugfs를 이용한 파일 복구를 알아봅니다.

안전한 파일 복구를 위해 마운트된 파티션을 해지하고 작업하도록 합니다.

# debugfs /dev/hda3

debugfs 1.39 (29-May-2006)

debugfs:  è debugfs 명령 프롬프트

debugfs:  lsdel è 삭제된 파일 리스트

 Inode  Owner  Mode    Size    Blocks   Time deleted

   22       0  100644  58313   13 / 13 Sat Apr 4  13:00:02 2009

43       0  100644   3013    4 /  4 Sat Apr 4  13:03:02 2009

16       0  100644   5413   13 / 13 Sat Apr 4  13:10:02 2009

3 deleted inodes found.

 

debugfs : stat <16> è 삭제된 파일의 상세 정보확인

: i-node, mode, MAC Time,  Size 등 정보 출력, < > 사용 필수

 

복구는 dump 명령어 이용하며 비 할당 영역에 위치한 파일을 지정된 파일명으로 복구한다.

 

debugfs : dum <16> /recover/16.dumped (16 stat 명령으로 확인한 i-node 번호)

debugfs : quit

 

# ls –al /recover/16.dumped

-rw-r--r--  1 root    root     5413 Apr 29 22:24 /recover/16.dumped

위와 같이 복구 되었음을 확인할수 있다.

 

그러면 리눅스 기반의 포렌식 도구들은 어떤게 있을까..

 

일단 command 기반 포렌식 도구들을 살펴보면..

 

l  The Coroner’s Tool kit

: 초기 유닉스 기반의 포레식 toolkit으로 리눅스에서 사용가능하며, 뒤에 나오는 포렌식 tool에 영향

l  The Sleuth Kit

: TCT 기반으로 리눅스뿐만 아니라 윈도우 용으로 개발되어 배포 되고 있음.

l  Foremost, Scalpel

: 파일 복구전용 Toolkit으로 삭제,손상 파일의 header footer 정보 이용하여

. 빠르고 쉽게 복구 지원함

 

Bootable CD로는

l  FIRE

l  KNOPPIX

l  FCCU GNU / Linux Forensic Bootable CD

l  Penguin Sleuth Kit Bootable CD

l  Helix

l  STD

l  BackTrack

 

우선 Sleuthkit에 대해 알아봅니다.

다운로드는 http://www.sleuthkit.org/sleuthkit/download.php 에서 하시면 됩니다.

현재 V 3.0.1이 최신이네요..(저도 설치는 아직 안해봤슴다..)

설치는 간단히 ./configure ;make; make install 하시면 됩니다.

 

중요 Sleuthkit 명령어(?)에 대해서 알아 봅니다.

mmls : 분석할 디스크 레이아웃과 전체 파티션 스키마 취득, 물리적 디스크만 분석 가능

(스냅샷으로 획득한 이미지 파일에서는 사용 못함)

img_stat : 스냅샷을 작성한 파일과 원본 디스크 또는 파티션 정보 확인

 

fsstat : 파일시스템 정보 확인, 블록수와 파일시스템 종류등의 기본정보 확인

fls : 지정된 파티션의 파일과 디렉토리들의 삭제 정보 확인, 삭제된 파일들 리스트 출력시 사용

ils : 파일의 i-node값과 복구 가능여부 확인

icat : 실제 삭제 파일 복구

 

나머지 tool은 개별적으로 확인 해보시기 바랍니다. 수업시간에는 Helix 하고, autopsy 정도

화면 본듯합니다.

 

다음 포스팅은 디비 포렌식으로 접근해봅니다..

 

 

'업무 > 보안' 카테고리의 다른 글

포렌식 - 네트워크포렌식  (0) 2009.05.11
포렌식 - DB포렌식  (0) 2009.05.07
포렌식 - 리눅스 포렌식 1  (0) 2009.04.27
포렌식 - 윈도우 포렌식2  (0) 2009.04.23
포렌식 - 윈도우 포렌식1  (0) 2009.04.19
Posted by ^________________^
,

오늘은 말씀드린대로 리눅스포렌식 관련으로 정리해봅니다.

 

현재 대부분의 리눅스 기반포렌식 툴은 오픈소스(무료)툴로 제공되는경우가 많으며, 윈도우 기반 포렌식툴보다 유연한 운영 환경을 제공해주고 있습니다.

그렇지만 사용자 요구시 포렌식 tool에 대한 즉각적인 기술지원이 어렵고, 표준화된 절차 및 방법론, 사용법 관련 문서,샘플등이 부족하며, 윈도우에 비해 다양한 기능을 제공 못하고 있습니다.

 

윈도우 때 처럼 리눅스 파일시스템의 종류를 먼저 살펴보겠습니다.

 

저널링 기능이 없는 파일 시스템 : ext2

저널링 기능이 있는 파일 시스템 : ext3 , xfs, reiserFS, ffs, ZFS, JFS , ext4

현재 대부분의 리눅스가 채택하고 있는 저널링 파일시스템 형식은 ext3이며, 유닉스/리눅스는 파일시스템도 파일로 인식합니다.

 

파티션 설정 상태 확인은 “fdisk -l” 명령을 통해 확인 가능합니다.

 

리눅스 파일 시스템의 블록구조는 다음과 같다.
- boot block  :
부팅에 필요한 bootstrap code

- super block : 각 파일 시스템의 meta data 정보

- i-node block :  inode lists

- data block : 실제 데이터 및 디렉토리

 

그럼 i-node에는 어떤 정보들이 있는지 알아본다.

i-node : 파일 시스템 내의 모든 객체는 i-node로 표현되어짐

ð  File type, permissions, owener, group, file size, file MAC time, number of links

 

MAC time : 파일 디렉토리의 고유한 시간 속성 정보

- mtime : 파일의 최근 수정 내용

- atime : 파일의 최근 접근 시간

- ctime : 파일의 최근 속성 정보 수정 시간

 

rpm파일을 통해 알아 보는 간단한 포렌식에 대해 알아보자..

rpm 파일은 RedHat 기반의 바이너리 설치 파일 패키지이다.

 

rpm 패키지 자체의 checksum 기능 이용하여 설치된 파일들의 위변저 여부확인 가능

ex) rpm –Va

. . 5 . . . . T      /bin/ls

S . 5 . . . . T  c  /etc/crontab

 

출력 형식

S : file size differs

M : mode differs(permissions and file types)

5 : MD5 sum differs

T : mTime differs

U : User ownership differs

G : Group Uer ownership differs

 

이제는 디스크 스냅샷 작성을 해보자.

 

디스크 스냅샷에는 다음 명령어를 사용한다.

dd : 유닉스 또는 리눅스에 기본적으로 포함된 명령어로 디스크전체 또는 각 파티션에 대한

스냅샷 작성도구

사용법

# dd if=<source> of=<target> bs=<byte size> count=<blocks>

-       bs, count 옵션을 이용하여 특정부분이나 사이즈만 복제 가능

 

메모리 스냅샷은 디스크와 동일하지만, 유의가 필요하다.

# dd if=/dev/mem of=memdump.dd conv=noerror,sync

è  Noerror, sync 옵션을 사용 안하면 계속 진행 불가

 

스냅샷을 작성 했으며 체크섬 값을 이용한 무결성 인증한다.방법은 다음과 같다.

è  md5,sha1을 이용하여 파일의 무결성을 체크하고 검증하는 일반적 방법

ex) # md5sum image.dd > mysum.md5

   .# md5sum -c mysum.md5

 

다음 시간에는 파일 복구에 대해서 알아보기로 하겠습니다.

 


'업무 > 보안' 카테고리의 다른 글

포렌식 - DB포렌식  (0) 2009.05.07
포렌식 - 리눅스 포렌식 2  (0) 2009.04.29
포렌식 - 윈도우 포렌식2  (0) 2009.04.23
포렌식 - 윈도우 포렌식1  (0) 2009.04.19
포렌식 - 윈도우 파일시스템  (0) 2009.04.15
Posted by ^________________^
,

윈도우 포렌식 두번째입니다.

 

오늘은 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

레지스트리란 “운영체제 내에서 작동하는 모든 하드웨어,소프트웨어,사용자 정보 및 시스템 구성 요소등을 담고 있는 데이터 베이스”를 말하며 다음과 같은 5개의 상위키를 가진다

 

HKEY_CLASSES_ROOT

- 파일 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록정보등..

HKEY_CURRENT_ROOT

- 현재의 로그인중인 사용자들에 대한 등록정보, 응용 프로그램의 우선순위, 보안접근 허용 여부

HKEY_LOCAL_MACHINE

- H/W 구성 초기화 파일, 제어판과 밀접, 사용중 H/W , S/W에 대한 정보

 HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키값과 동일한 값 가짐, 두곳이 연동되어 생성이나 삭제가 같이 이뤄짐

HKEY_USERS

- 이전 사용자 초기화 파일 보관, 두키 사이가 겹치면 HKEY_CURRENT_USER가 우선

HKEY_CURRENT_CONFIG

- 현재의 사용중인 윈도의 디스플레이 정보 와 프린터 관련정보

HKEY_DYN_DATA

- wind95,98,me까지 존재

 

윈도우 레지스트리분석

-         최근 열었거나, 실행,수정한 문서에 대한 사용흔적

MRU (most Recently Used)

- 가장 최근 사용된 파일 프로그램에 대한정보 목록을 말하며 일부정보가 레지스트리에 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\OpenSaveMRU

- 최근 Open 되거나 Save된 파일 목록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\LastVisitedMRU

- OpenSaveMRU 에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RecentDocs

- windows explorer를 통해서 최근 Open된 파일 목록 기록

HKCU\Software\Microsoft\windows\currentVersion\exploer\ComDlg32\RunMRU

- 시작->실행 선택해 실행된 명력 목록 유지. 가장 최근 추가된 명령어 항목이 가장 최근

사용된 명령어 의미하지 않음

 

HKCU\Software\Microsoft\windows\CurrentVersion\exploere\UserAssist

- 사용자가 접근한(실행한) 프로그램, Shortcut, control panel applet등 기록

 

HKLM\SYSTEM\ControlSet00x\Enum|USBSTOR

- USB 장치 정보 저장

 

그외 몇가지 더 있으나 필요하시면 좀 찾아 보시면 될듯합니다..

왠만하면 pc에 기록이 다 남으니 허튼짓은 안하시는게..^^;

 

그외 이제 인터넷 접속기록 부분은 History정보와 Cache 정보 Cookie 정보등을 살펴 보아야한다.

History 경우 간혹 ID와 Password 관련정보 있을수 있고cache 경우 삭제파일들을 복구하여 검색하며, Cookie 경우 사용자정보,세션정보가 저장관리되므로, 유용하게 사용된다.

 

마지막으로 윈도우 파일분석입니다.

작업에 따른 파일의 MAC시간 변경

파일생성 : 수정한날짜, 만든날짜,접근날짜 모두 일치

파일이름변경 : 접근날짜

파일내용수정 : 수정날짜,접근날짜,

파일복사 : 만든날짜, 접근날짜

파일이동 : 접근날짜

파일다운로드 : 만든날짜, 수정날짜, 접근날짜 변경

메신저에 의한 파일생성 : 만든날짜, 수정한날짜, 접근날자 변경

파일압축해제 : 만든날짜, 접근날짜 변경

 

파일의 MAC 수집

 

dir /t:a /s /o:d c:\ -> C드라이브에서 각각의 모든 파일, 디렉토리에 대한 접근 시간

dir /t:w /s /o:d d:\ -> D드라이브에서 각각의 모든 파일, 디렉토리에 대한 기록한 시간

dir /t:c /s /o:d e:\ -> E드리이브에서 각각의 모든 파일, 디렉토리에 대한 작성 시간

 

휴지통 파일에서 INFO2파일의 경우 windows 2K/xp.에서 800bytes 크기 가집니다.

 

이상으로 윈도우 포렌식을 또 마칩니다..

다음에는 머할까요..리눅스 포렌식쪽으로 해보겠슴다...

 

Posted by ^________________^
,

투랍니다..

드뎌 포렌식 교육이 종료 되었습니다..

언제 끝나나 했는데..ㅋㅋ 6주 짧은 기간였지만 직장다니면서 하기는 좀 빡센…^^;

무사히 수료 해서 수료증 받았슴당..ㅋㅋ

시험만 합격하면..흐….

 

이번시간에는 지난시간에 포스팅한 파일시스템에 이어 윈도우 포렌식을 시작합니다.

 

윈도우에 대해 대략 알아보고 휘발성 증거, 레지스트리,인터넷접속, 윈도우파일분석등을 알아봅니다.

 

우선 윈도우의 구조,포르세스,폴더등을 알아본다.

 

윈도우 구조

 

지식인에서 아래 그림 한 개 찾았는데..다른 좋은 그림 있음 연락을..^^;(출처는 그림에)

 



윈도우 관련 프로세스는 다음 링크를 참조하자.

<윈도우 프로세스 자세히 보기>

윈도우중요 폴더로는..

로그인 계정에 관련 파일을 저장하는 C:\Documents and Settings 폴더

 

C:\Documents and Settings\사용자\ 하위디렉토리 내용은 다음과 같다.

\Cookies : 쿠키 정보

\local Settings : 응용 프로그램 데이터, 기록 및 임시파일

\Recent : 최근 사용한 문서 및 액세스한 폴더에 대한 바로가기

\Templates : 사용자 템플릿 항목

 

운영체제가 설치된 C:\Windosw 폴더와 하위 디렉토리 내용은 다음 과 같다.

Downloaded Program Files : 인터넷에서 다운로드 받은 플러그인, ActiveX등 저장

System32 : Window 실행에 핵심이 되는 DLL, Driver가 저장되어 있는 폴더

System32\config : 윈도우의 레지스트리 파일 저장

 

그리고 윈도우에 설치되는 각종 응용 프로그램이 저장되는 C:\Progrma Files 등이 있다.

 

다음으로, 윈도우의 휘발성 데이터와 비휘발성 데이터에 대해서 알아본다..

증거 수집전 중요한 사항으로 다음이 있다.

 

“로카르 법칙(Locard’s  Exchange Principle )은 접촉하는 두 개체는 서로 흔적을 주고 받는다”

 

사용자 또는 조사자 그 누구든 간에 동작중인 시스템을 다루면 해당 시스템은 변화가 발생하므로, 조사자 또는 초기 대응자는 이 법칙을 염두해야 한다.

 

휘발성 데이터란 전원이 끊어지면 손실되는 데이터로 시스템 명령어 및 Tool 활용해서 수집한다.

휘발성 데이터 수집은 현재 진해오디고 있는 (실시간, Live) 정보를 통해서 추적(해킹,바이러스등)

 

Order of volatile (휘발성 순위)

-         휘발성 데이터는 동작중인 시스템의 메모리에 존재하고, 존재하는 휘발성 데이터들의 수명은 그 특성에 따라 다르다.따라서 휘발성 증거 수집에 있어 우선순위 고려 해야 함

 

일반적 환경에서의 Order Of Volatile

-         Register, cache

-         Routing table, arp cache, process table, kernel statistics, memory

-         Temporary file system

-         Disk

-         해당 시스템의 Remote logging and monitoring dta

-         Physical configuretation, network topology

-         Archival media

 

Windows 휘발성 데이터

1> 날짜 시간관련

-         date /t : 날짜, time/ t : 시간

현재 시간과 비굥하여 시스템 시간과 표준 시간이 차이나면 따로 기록해야함

시스템 시간 부팅시 CMOS 통해서 확인가능

실제 시간 비교 telnet time.kriss.re.kr 13

 

2> 시스템 관련

-         psinfo -h –s –d  : 서비스팩 설치 현황 및 소프트웨어 설치 현황으로 사고상황 파악

 

3> 사용자 관련

-         set user : 로그인한 사용자의 도메인, 이름, 프로파일

-         net user : 로컬 컴퓨터의 사용자 정보수집

-         ntlast 현재 시스템 사용자 로그 확인

-i : 성공한 사용자 –r : 원격지 로그인 –f : 로그인 실패 기록

-         psloggedon : 현재 접속한 사용자(공유폴더 포함)

-         net sessiong : 외부 접속 사용자 목록

 

4> 공유폴더 관련

-         logonsession –p :현재 접속된 모든 User의 접속 시간, 실행된 프로세스 정보획득

-         net share [공유 이름] : 로컬 컴퓨터의 모든 네트워크 공유 자원에 대한 정보

-         hung : 공유 폴더 및 사용자 정보

-         관리목저 기본폴더

내컴퓨터 -> 관리도구 -> 공유폴더 -> 공유 or 시작 -> 실행 -> fsmgmt.msc

-         psfile : Remote에서 opne한 파일정보

단점:Open후 오랜 시간 유지하면 정보 안보임, 극복은 주기적 batch file

-         openfiles : remote에서 open한 파일 정보 , net file 시스템 명령과 동일

 

5> 네트워크 관련

-         ipconfig(/all) : local ip 정보 및 mac 주소

-         route PRINT(netstat –r ) : 라우팅 테이블 정보 , 패킷 흐름 변경 확인

-         arp -a : arp cahce table 정보 보여줌

-         netstat (-ano) : 현재 사용중인 tcp/u에 정보

-         fport : 대기중인 포트(Listening 상태)를 어떤 응용 프로그램이 사용하는지에 대한정보

-         Tcp Viewr : 프로세스가 사용하는 ㅔ트워크 정보

 

6> 프로세스 관련

-         pslist (-t) : 실행중인 모든 프로세스 목록 cpu 점유, 메모리 사용량에 대한 정보 수집

-         Listdlls : 현재 프로세스가 사용중인 DLL 목록

-         Handle : 현재 프로세스가 사용중인 모든 객체 참조 목록

-         Process explorer : 프로세스 정보

-         Process monitor : 프로세스 작업 모니터링

-         File monitor : 프로세스에 대한 operation 감시

-         Net start : 현재 윈도우 시스템에서 실행되고 있는 서비스 정보 수집

-         Psservice – 현재 윈도우 ㅣ스템에ㅓ 시행되고 있는 서비스 정보 수집

 

7> 파일 관련

-         Hfind : 숨김 파일 위치 및 정보

-         TimeLine 분석 : 탐색기 -> 도구 -> 폴더 옵션 / 검색 -> 검색 옵션

 

8> 클립보드

-         Clipbrd(시작->실행->cliprd)  : 현재 윈도우 시스템의 클립보드 내용 표시

주의 :  ESC Key 누르면 Clipbrd 내용 지워질수 있음

 

9> Command History

-         doskey /history : 현재 Dos  명령창에서 이전 입력한 명령어 리스트 출력

주의 : 현재 명령창 종료 되면 메모리서 삭제

 

10> 관련 도구

-         md5sum –c / sha1sum -c : 변경된 파일 체크

-         FRED

-         FIRE

-         IRCR

 

레지스트리,인터넷접속, 윈도우파일분석등은 다음 포스팅으로…

Posted by ^________________^
,

..지난번 말씀 드린 바 와 같이 파일시스템 및 윈도우 포렌식에 대해서 이어가도록 하겠습니다.

 

파일시스템에 대해 알아보고, 하드디스크, 부트 로더, FAT 파일시스템 정도까지 이어 가 보겠습니다.

 

파일시스템이란 자료의 기록이 가능한 저장매체의 근간을 이루는 것으로, 매체 내에 데이터가 저장 및 관리되는데 있어 프로세스 권한에 따라 데이터를 노출, 은닉, 압축, 암호화하며 구조적

손실 시 이를 다시 원래 상태로 회복 시키는 등의 역할을 수행, 수반 보조가 필요한 총체적인

데이터 운용 기술이 적용된 시스템이다.”

 

다시 정리하자면 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정된 약속이다.

 

그럼 파일시스템에 대한 분류를 알아보자

일반적인 파일시스템으로 FAT, HPFS, NTFS, UFS, Ext2,3 등이 있으며, 플래시 파일시스템, CD-ROM 파일시스템, 네트워크 파일시스템, 가상 파일 시스템등이 있다.

 

하드디스크에 구조에 대해서 언급하고 넘어 가기로 한다. 자세한 구조는 다음 링크 참조하자.

 

<자세한 구조 보기>

 

하드 디스크는 간략히 실린더, 트랙(=헤드,head) , 섹터로 이뤄져 있으며 1클러스터 = 4섹터이다.

 

논리적 섹터와 물리적 섹터의 장단점은 다음과 같다.

분류

물리적섹터

논리적섹터

장점

모든 섹터 다룸

사용 편리               

단점

사용이 어려움

분할된 섹터만 다룸

 

부트로더(부트스트랩 로더)ROM에 저장되며, 커널을 메모리에 올려주는 역할을 하는 프로그램으로, MBR에 존재하며 커널 로더라고도 불린다.

운영체제를 메모리에 올려놓는 역할을 하는 기계어 코드들의 집합을 IPL이라고 하고,

각 하드 디스크의 첫번째 섹터인 MBR에 존재한다.



부트로더 분석시 필요내용은 다음과 같다.

실제 부트 섹터는 메모리 0000:7C00 (메모리에 MBR값 올리는 위치) 에서 수행된다.

모든System에서 동일하게 0000:0413에는 주기억 메모리가 저장되어 있다.

0000:004c에는 INT 13h의 세그먼트와 오프셋이 저장되어 있다.


 

다음으로 파티션에 대해 알아보자.

파티션은 컴퓨터에서 디스크나 메모리 등의 저장매체를 나누는 것이다.

종류로는 Dos 파티션, Apple 파티션, BSD파티션, 솔라리스 디스크 레이블 등이 있다.

 

 

Dos 파티션 테이블




FAT파일시스템에 대해서도 들여 보자..

관련 내용 및 표의 출처: IT EXPERT, 임베디드 개발자를 위한 파일시템의 원리와 실습 에서이다.



                                                       FAT 파일시스템 비교



클러스터 크기가 크거나 작음에 따라서 장단점이 있다. 우선 클러스터의 크기가 작은 경우의 장점은 클러스터 할당 때문에 버려지는 용량이 적다는 것이고, 단점은FAT 영역의 크기가 커진다는 것이다.

 

반면에 클러스터의 크기가 큰 경우의 장점은 FAT 영역의 크기가 작다는 점과 클러스터의 크기가 작은 경우에 비해 파일당 할당하는 클러스터 수가 적기 때문에 그에 따른 작업의 오버헤드(overhead)가 적다는 점이다. 단점은 크기가 작은 파일이 많은 경우 버려지는 용량이 많아진다는 점이다. 이렇게 버려지는 부분을 슬랙(slack)이라고 한다.



                                                클러스터 크기에 따른 장단점


이것으로 허접하게 윈도우 파일시스템을 정리해봅니다..

 

다음에는 윈도우 포렌식으로 넘어가보겠습니다.


 

Posted by ^________________^
,