Forensics, Digital Behavior 등 뭐 그런거...

최근에 넷봇이 대중화 되면서, 다수의 넷봇 Agent 분석을 할 일이 생겼었다.
근데 좀 짜증 나는게, 분석을 하다보면 File Size나 기타 등등을 봐서 부모?가 같은데서
태어난 자식들이란 사실을 알 수가 있는데 이를 보고서에 담기가 꽁기꽁기 했다.
hash 값을 떠봤자 C&C IP가 다르게 박혀 있으니, 당연히 다르게 나올테고...
그렇다고 이 프로그램들 전부에 대해서 분석 보고서 쓰는건 너무 귀찮고-_-; 뭔가 스마트한
방법을 찾다 생각난게 이전에 포스팅을 했었던 Fuzzy Hash...ㅋㅋ 아래 정리 표를 보면 한눈에
그 강점이 무엇인지 알 수가 있다. 기특기특~


이걸 아래처럼 작업해보는것도 좋다. ①은 그냥 해쉬 확인, ②에서 해당 해쉬를 파일로 저장,
③에서 해당 폴더 내 전체 파일 해쉬 값 비교...

유사도 99%의 결과! 1%는 IP어치겠지 뭐~
이렇게 하나만 분석하고 나머진 유사도만 입증 후 끝~크크크, 이제 변종수가 많아도 괜찮다는 ㅎ

EnCase Portable 뉴스를 봤을때, 한창의 Live Forensic 이슈로 인해서 기대를 엄청 많이 하였으나
구할수가 없어서 (가난..-_ㅜ) 그냥 지내던 중 아시는분의 관대한 처분으로... 써보게 되었다. 근데
하필 그때가 일이 무진장 몰려있어서 제대로 못써보고 평소 궁금했던 사항들 위주로만 확인 해봤다.
일반적인 사항은 공장장님께서 잘 정리를 하여 주신 포스트를 보시면 될듯

More on EnCase Portable
EnCase Portable first look
EnCase Portable Second Look

물론 PE는 생각보다 광범위한 분야에서 사용하라고 만들어놨겠지만, 개인적으로 과연 이게 내 업무에
맞는 것인가 하는 궁금증만 해소 하고 말았다.(게을러서...)

□ CD랑 USB안에 내용은 대충 아래와 같다.


□ 급한대로 대충 골라서 돌려봤다.


□ 결과는 외부 저장장치(대부분 USB)에 저장되고 이를 분석환경(FE 버젼 등)에서 분석하는 식이다.


딴건 시간이 너무 오래 걸려서 인터넷 히스토리만...

이게 시간이 걸리는게 뭐고 하니 파일들을 긁어오는데 원본에서 복사 하는 시간이 꽤
오래 걸리는 것 같다. 해당 파일들을 모아 lef 파일로 만들어준다.

□ 잠깐 사용후기...
간략하게 한줄로 요약하면 '내 업무에 활용도는 많이 떨어진다' 정도겠다.
개인적으로 아쉬운것은 이것의 명칭이 Portable Edition보다는 Portable Module이란게
더 적절한것 아닌가 싶다. 다른 모듈(Decryption Suite 등)처럼... 타 에디션들에 붙여 파는
정도면 아주 적절하고 인기 있는 모듈이 되었을지도...모르겠다.
그리고 GSI가 무슨 개념을 염두하고 만들었는지 모르겠지만 약간 계륵이 아닌가 싶은 생각이..
Portable Edition이라면 Portable하게 분석이 가능했어야 더 ...

물론 이렇게 말한다고 해도 이미 준비된 스크립트로 현장에서 빠르게 대처하는데 도움이
안된다는게 아니다 매우 많이 되고 훌륭한 결과물이지만 개인적인 욕심으론 GSI가 다년간의
UX를 더 많이 살려줬으면 싶다. 아니면 내가 활용을 못해서 그렇게 느낄지도...-_-;;
요새 춘추전국처럼 막무가내로 여러 소프트들이 생기는 상황에서 GSI는 좀 더 사용자 요구사항
분석을 해야 하는거 아닐까? 물론 그들의 환경과 '내 업무'환경과 많이 달라서 더 불편하게
느끼는 것일테지만...그냥 좀 아쉽다 ㅋ 한카피 갖고 싶긴한데... 가격도 많이 떨어졌다고 하던대..
그럼에도 대충의 업무 적용도를 생각해서 활용 가능성을 보고 사기엔 우리가 너무 가난..-_- 크흑


p.s

근 한달만의 블로그 로그인...

1. 그간 조금 정신이 없었다. 출장도 잦았?고 혼자 감당하기 어려운 양의 업무가...
사실 누군가가 도와주고 이끌어 주면 좋겠지만, 이쪽 분야는 너무 생소하다보니
사수?라는 개념이 희박한것 같다. 다같은 동료? 개념이랄까...
그런 관점에서 약간 허덕였다. 일단 제일 큰 문제는 형편 없었던 업무 의지력이였지만,

2. 앞으로 역시 포렌식 단신은 그만 하는게 좋겠다. 힘들어도 지속하면 억지로라도
어쩔수 없이 공부 하게 되니깐 꾸준히 올리고 싶었지만, 많은 것들이 중복되기도 하고
시간도 많이 뺏기게 되어서...
개인적으로 다른 프로젝트에 시간을 쏟고 싶어졌다. 그리고 어디에나 있는 정보말고
내가 겪는 경험들 위주로 포스팅을 해야겠다는 생각이 더 강해졌다. 단신을 올리고
써야지 하는 바람에 못올리고 넘어가는게 많아졌는데 이건 바람직하지 못한것 같다.

3. 오랫동안 글을 안썼는데도 방문자수는 큰 변화가 없다. 꾸준한 방문자분들께 감사를
해야 하는걸까 내 글이 방문수에 크게 영향 끼치지 못할 정도로 가치없음을 한탄해야
하는걸까...요새 '180 미만 루저' 이슈가 많던대 블로그 히트수도 해당 되는걸까?

4. 운동을 해야겠다. 축구모임도 점점 뜸해지고 건강 관리가 힘들어지고 있는 가운데...
출장용 가방은 무거워져가기만 하고...역시 이전글의 CPark님 말씀을 들어보니 체력은
업무 능력의 중요한 부분을 차지 하는것 같다. 다른 사람들처럼 덤벨이나 역기말고
한손으로 출장용가방 들었다놨다, 누워서 PC본체 들었다놨다...뭐 이런거로...
내글을 보는 영신FC 일원들은 반성하자...덥다고 안하고 춥다고 안하면 언제 하냐...
...나도 반성할께..)

5. 지난 몇달간 지속되는 슬럼프는 극복을 해가는것 같다. 이제는 가을 좀 타야겠다.
우수에 찬 가을 도시 남자..후후... 이런건 안되겠지?-_-;
그래도 책도 보고 많이 먹고...가을에 할 일은 다 챙겨봐야할텐데...

6. 뭐든 구형인 나는 신종플루도 안걸린다. 걸려도 구종플루... 지난주말 39도까지
열이 오르니 이러다 훅가겠다 싶고 무섭더니, 금새 나았다. 남들 모르게 아프고 나니
좀 억울?하다.감기약이 주는 약간 몽롱한 기분이 그리워진다.

7. 가끔 나의 부족한 능력이 너무 싫어질때가 있다. 좀 똑똑하게 일할수도 있을텐데...

8. 요새는 블로그 제목을 너무 대충 지었던게 아닌가 하는 후회가 든다...
뒤의 '뭐 그런거'라도 빼야 될 꺼 같은데...