Egloos | Log-in


090628 포렌식 단신 모음

'범국가 사이버 안보' 한시가 급하다
미국은 사이버전을 담당할 부대를 만들어서 늦어도 올 말이면 정상 운영 될 듯 싶은데..
관련해서 DoD 구직글도 언뜻 보였고...우리 상황은 어떤지 모르겠다. 아마 크게 공격 당해봐야
대응을 하지 않을까...최근 CSO 협의회를 만든것 까진 좋았는데 그것과 별개로 사이버 '전쟁'에
대해서도 심각히 고민해봤음 좋겠다.

Buy F-Response, get a free copy of WFA 2/e!
서로간에 정말 교류가 많은듯 싶다. 대인배 M.Shannon이 역시 쏜다.F-Response를 사면 WFA 책을..

Windows Forensic Analysis 2E - a review
역시 극찬... 꼭봐야겠네요 바쁘지만, 책 오는대로 1달 목표 잡고 봐야겠어요. 메모리와 휘발성 증거
수집 분석, 레지스트리 분석, 도구들의 한계, 윈도우 포렌식의 내용을 포함 한다고 합니다.

START methodology, The need for speed
hogfy가 소개하는 Simple Triage And Rapid Treatment 라는 방법론, 개인적인 느낌으론 결국 간단히
말해보자면 고전적인 이슈인 선택과 집중을 통한 분석 속도 내기 정도가 아닐까 싶다. 아닌가?-_-;;ㅋ
할수 있다/없다간의 문제는 별로 발생치 아니한다. (고객이 요구 하는)시간내에 결과물을 줄 수 있는가에
관한 문제가 늘 겪게 되는 문제다. "암호화된 하드요? 복호화 하면 볼수 있어요. 6달만 기다려주세요."
라고 하는건 따귀 맞기 딱 좋은 대사다. 이런 멘트를 날리려면 고객이 K1을 즐겨 보지 않길 바라자...

Acclerating Response...
위와 연계한 포스트로 인상적인 문장이 보인다.
Bottom line, why waste time imaging a suspect drive(s) before you've made the determination
whether that drive needs to be imaged.
쓰잘데기 없는걸 이미징 하는 것은 시간, 돈, 노력, 저장공간의 낭비이다. 다행히 이번에 산 시스템은
그걸 방지 하기 위한 최소한의 장치가 있어 다행이다=_=

More on EnCase Portable
EnCase Portable에 대한 보다 자세한 설명. 홍보용 PDF도 보시고 영상도 보시고...


늦게 나옴감이 있지만, 괜찮아 보인다. 커스터마이징만 자유롭다면, 사서 쓰고 싶은대 가격이 얼마일지?;;

Directory Link Counts and Hidden Directories
Link 갯수가 맞지 않은건 뭔가(Rootkit)가 임의로 히든 시켰다는 이야기므로 루트킷의 존재 여부를 확인 할
수 있다.는 내용 <여기> 에서 다운을 받을 수도 있고, 이런식의 접근 방법은 내가 참 좋아 하는 방법이다.
공격자가 미쳐 생각지도 못한 간단한 트릭의 활용 :) 이거 까지 맞춰가며 감추려면 여간 손이 많이 가는게
아니다. 호호호

What's behind the "Nine Ball" attacks?
국내에서도 잠깐 기사가 나왔었는데, Nine ball에 대한 집중 분석 포스팅...이해도 잘 안된다는-_-;ㅋ

Ghosts and Forensic Images
고스트 이미지와 포렌식 이미지간의 차이... 좋은게 좋은거라고 그게 그거라고 생각하는 사람들이 간간히
있긴한데...그 오해를 풀기 위한 좋은 글, 간단하게 말하자면 Forensic 이미지는 디스크를 Bit 단위로 복제 해서
다른 디스크나 파일로 저장하는 것이고, 고스트 이미지는 사용중인 파일들만 복제 해서 만드는 것이다.
따라서 unallocated cluster나 slack 영역에 대한 조사는 불가능해지며 삭제 데이터의 복구 역시 불가능하다.

Ether: Malware Analysis via Hardware Virtualization Extensions
하드웨어 가상화로 맬웨어 분석을 하는 프레임웍이라는데, 여름에 릴리즈 계획이 있다고 한다. 나오면
한번 써봐야겠다. 개인적으론 그다지 활용할 기회나 실력이 없어 관심이 적지만...

컴퓨터간 데이터를 전송을 가능하게 해주는 Cool Drive U360
으아 전 이게 정말 필요해요~ 아직 국내엔 안나온듯 싶긴한데...ㅠ_ㅠ
혹시 파는데 아시면 제보 좀...

Forensic 4cast Awards
얼마전부터 추천을 받더니 추천 받은 상위 3 후보들을 가지고 투표를 시작 하였습니다.
Outstanding Contribution to Digital Forensics (Individual) 부분에 Carvey가 없는게 좀...쩝
블로그랑, 서적에 이어 트리플 크라운이 가능했을지도 몰랐는데...2개 부문 이상은 짜른건가?-_-;
FTK나 EnCase 둘다 안보이네요. 업계 영향력에 비하면 좀 이상한듯, 너무 당연해서 추천을 안하셨나...
Volatility도 안보이고..아무튼 이거 보니 몰랐던(혹은 과소 평가했던) 툴들이 몇개 있네요
SANS의 Rob lee씨도 눈에 띄고...투표하고 와야겠어요~ 여러분도 한번씩...
(사실 이런거 말고 대통령 투표나 열심히 해야 하는데...)

■ 용기백배 EnCE 합격
아?! 이건 단신이 아니구나. ㅋㅋㅋ 그냥 어떻게든 자랑하고 싶어서....'- ' 이전에 CISSP 땄을때보다
감동은 덜하지만 그래도 기분은 좋은듯... 아직 자격증은 안왔는데, 진행이 참 오래 걸리네. 답안 보낸게
언제인데 -_- + 아무튼 가이던스는 좀 거만하단 말이야
바쁜 와중에도 이것저것 tip을 주시고 도와주신 분들께 감사를...

by 용기백배 | 2009/06/28 20:01 | 魄杯강화 | 트랙백 | 덧글(13)

090612 포렌식 단신 모음

밀린 피드를 한번에 보려니 빡시네요. 꽤 덥기도 하고...전 더위에 너무 약해서 ...
겨우겨우 정리 했지만, 아직도 많이 남았다는...-_-; 이게 12일까지 모음
Microsoft Bans Memcopy()
이거 파장이 꽤 클줄 알았는데, 뉴스 올라오고 1달이 지났지만, 국내에선 별다른 반응이 없네
개발자 커뮤니티쪽에선 난리가 났으려나? IT 관련 블로거이신 서명덕님께서 발빠르게 포스팅
해주신 것 외엔 못본듯. 이거 memcopy를 활용하는 기법들 타격 좀 클듯...즐겨쓰던 함수였는데..

Perl-Fu: Regexp log file processing
grep툴과 정규식을 이용한 로그 파일 처리, 이런거 좀 잘 이용하면 좋을텐대...
얼마전 모기업에서 본 상황 로그 추출 조건 몇개 가지고 일단 grep후 결과에 대한 또 grep 후 grep
보다가 그냥 눈을 감고 명상..차라리 윈도우로 불러서 Logparser라도 쓰라고 하고 싶었는데..
아무튼 정규식은 참 오묘한듯...ㅋ 쓰기 쉽고 효과 좋고...

What roles are there in computer forensics?
포렌식 관련 직업이 뭐가 있는가..
ㆍData Recovery - Physical and Logical Recovery
ㆍComputer Forensics - Collection, Imaging & Media Handling, Processing/Searching
ㆍForensic Investigation - Civil Work
ㆍForensic Investigation – Police Subcontract work
ㆍForensic Investigation – Mobile Phones
ㆍForensics (Senior) Managers
ㆍForensics Developer/Coder
기존의 상식보다 좀 더 많은 분류인듯... 열심히 공부 하고 있지만 난 어디로 가게 될지 잘 모르겠다.

EFF, ‘해커’에 대한 압수 수색영장 무효 주장
음, 이거 기사 말미가 좀 중요한듯
"수색영장에 관한 판결이 칼릭스테가 모든 혐의로부터 완전히 자유롭다는 것을 의미하지는 않는다며
현재까지 수집된 모든 증거가 향후 재판에서 이용되는 것을 금지해달라는 칼릭스테의 변호사의
요청은 기각했다."
괜한 오해로 잘못된 길로 들어서는 분이 없기를...

File System creation date vs. Operating System install date - Part I
앗 이런 개념 포스트, 역시 Lance...가끔 디스크 분석시에 만나게 되는 이상한 현상..
MFT생성시간과 OS설치 시간이 역전되는 경우...이 글에서 나온대로 TimeZone과 관련하여
지역설정이 OS설치시 이루어진다는 점도 알아야겠지만, 최근에는 고스트 이미지등으로 일괄적
복구를 통해 TimeStamp가 이해하기 힘들게 바뀌어 있는 경우도 있다.
디스크의 주인이 뭔가?를 감추기 위하여 이전의 고스트 이미지로 돌려 놓은 경우 OS 설치 시간은
이전 그대로 유지 하고 있는 상황을 만나 각 파일들의 생성 시간과 많이 혼동 되는 경우가 발생하는데
이 부분을 신경 써서 잘 파악해야 자칫 발생하는 실수를 줄일수 있다. 요런게 미쳐 생각못하면,
뭐에 홀린듯 실수 할수 있다.

Deeply Embedded Metadata
Embedded Metadata에 대해서 좀 헷갈리신다면, 그냥 파일에 저장된 메타데이타로 보심 될듯,(그럼 일반
메타 데이터는 뭐냐고? 그건 OS나 DB같이 그 파일들을 Management 하는 애들이 가진 메타데이터...)
아무튼 특히 오피스 계열에 저장되어 있는 이런 정보는 중요하게 활용될 가능성이 참으로 큰 정보들이다.

Forensics of BitTorrent
오랜만에 보는 가치 있는 논문...이런걸 내놓는게 대학의 역활 아닌가 싶다. 아니 국내 대학들은 뭐하나..
다만 BitTorrent 활동을 분석할 일이 그다지 많이 발생할 것 같진 않다는 ... 왜냐면 아직 분석 요구자들이
그게 뭔지 잘 모르..-_-;하지만 조만간 이걸 유용하게 써먹을 기회가 올것 같은 느낌이 온다-_-;;;

아이템베이 DDoS 공격 범인검거됐다!
기뻐해야하나 말아야하나... 사실 국제적인 문제만 어느정도 해결되면 이런놈들 잡는건 문제도 아닐듯한데..
이런 문제에 대응하기 위한 UN 산하 기관 같은건 어떻게 준비 안되려나...아무튼 힘든 상황에서도 끝까지
노력하신 분들께 경의의 박수를..

CEIC materials
Jamie Levy의 블로그에 올라온 CEIC 관련 발표자료 몇개, 볼만한 자료인듯...
역시나 Volatility가 빠지지 않고 있다.

Update: Win32dd 1.2.2.20090608 (fixes + improvements)
Win32DD가 업뎃이 되었네요 좀 안정적이 되었다고 하는데...이걸 써야 할지 mdd를 써야 할지 ㅋ
주로 mdd를 쓰고 있긴한데...바까볼까...갑자기 좀 세련된 듯한 느낌이..

Undocumented Windows Vista and later registry secrets
레지스트리에서 큰 데이터 처리를 위해 사용되는 CM_BIG_DATA에 관한 글..음 잘 이해를 못하겠다는...
하지만 moyix가 VolReg 0.6, now with BIG_DATA를 포스팅하여 주며, Volatility에서 VolReg를 통해서
지원이 되니 상관 없다는-_-;;ㅋ

Volatility Plug-in for IAT/EAT/Inline Hook Detection
역시 이런건 메모리에서 뽑는게 정확하겠죠? Inline Hook을 손쉽게 찾아 볼수 있는 플러그인

Do you need to wipe a drive before you image to it?
한번 읽어보세요~, 디스크를 다른 디스크로 복제 뜰때는 권고안대로 wiping하는게 맞겠지만, 이미지 파일로
만들때 wiping할 이유는 없다고 봅니다. 만약 wiping 안한다고 이미지 파일내에 다른 내용이 남아 있게 되어
오염이 된다면, 애당초 verify가 될 수 가 없겠지요.

Information Security Incident Rating

Richard Bejtlich이 만든 분류법...총 10단계의 Impact로 구분된다.
  1. Vuln 3 / Impact 1 / Intruder must apply substantial effort to compromise asset and exfiltrate sensitive data
  2. Vuln 2 / Impact 2 / Intruder must apply moderate effort to compromise asset and exfiltrate sensitive data
  3. Vuln 1 / Impact 3 / Intruder must apply little effort to compromise asset and exfiltrate sensitive data
  4. Cat 6 / Impact 4 / Intruder is conducting reconnaissance against asset with access to sensitive data
  5. Cat 3 / Impact 5 / Intruder is attempting to exploit asset with access to sensitive data
  6. Cat 2 / Impact 6 / Intruder has compromised asset with access to sensitive data but requires privilege escalation
  7. Cat 1 / Impact 7 / Intruder has compromised asset with ready access to sensitive data
  8. Breach 3 / Impact 8 / Intruder has established command and control channel from asset with ready access to Sensitive data
  9. Breach 2 / Impact 9 / Intruder has exfiltrated nonsensitive data or data that will facilitate access to sensitive data
  10. Breach1 / Impact 10 / Intruder has exfiltrated sensitive data or is suspectedof exfiltrating sensitive data based on volume, etc.

중국 PC에 강제로 설치될 필터링SW 'Green Dam'의 실체
예전같으면 중국이니깐 쯧쯧 거리며 지나갔겠지만, 요새는 왠지 우리나라에서도 따라할 것 같아 무섭다.
세계적인 흐름이라고 하면서 밀어 부치면 어쩌지?-_-;

Sparsing - New technology set to revolutionise digital forensics.
음 Forensic 이미지의 용량을 줄인다는...게다가 sparsing을 지원하는 툴이면 압축을 풀 필요도 없어 속도
문제도 신경쓸바 아니라는 글인데, EnCae나 FTK는 지원하지 않는다고...음..굳이 두개의 툴이 아니면
써도 좋을것 같은대..언제 써보나...

Department of Defense Digital Security Job Opportunities
미 DoD 자리 하나 났네요. 근데 생각보다 조건이 간단하네...
인공위성 해킹 경험 필수, 핵잠수함 침투 시험 같은 조건은 없네요...

EnCase Forensic v6
가이던스의 성의 없는 메뉴얼에 화가 좀 난듯...근데 가이던스 교육 교재 우연히 봤는데 좀 좋은듯..
제 생각엔 일부러 교육 받게 하려고 대강 만든거 같아요 ㅋ

Find 활용팁
Suban님 포스트에서 보고 Free4U님 포스트 발견, 다양한 활용법이 잘 정리 되어 있다.
(근데 Free4U님 사이트 맨위의 제목이 왜 FEE로...)

Challenge of Windows physical memory acquisition and exploitation
ShakaCon? 처음 듣는 컨퍼런스...같은데 아무튼 거기서 matthieu가 발표한 pdf는 메모리 포렌식의 좋은
메뉴얼인것 같다. 더 자세히 좀 봐야겠다.

by 용기백배 | 2009/06/27 20:34 | 魄杯강화 | 트랙백(1) | 덧글(4)

Regripper into EnCase Enscript

지난번 포스팅에서 Registry에 유용성을 강조하면서 몇가지 도구를 올렸었다.
그 중 유연하고 공짜이고-_-; 많이 쓰게 되는 도구가 Regripper,
근데 또 많은 분석을 EnCase로 하다보니, 이원화 되서 불편...
그래서 만들게 된 RegRippers_Output_Bookmark.EnScript 쨔잔~-_-;;

나의 첫 Enscript... 코드의 완성도가 떨어져서 공개는 망설여지지만,
그래도 출력 결과는 나름 만족스럽기에-_-;

처음 공부하며 한다고 이것저것 삽질 좀 해서 코드가 아름답지 못한듯;;
그래도 거의 10시간 정도 투자한듯- _-; 머리가 나쁘니 원...
스크립트 주제에 좀 복잡한듯-_-; 느낌은 거의 C++과 비슷한듯

Regripper의 출력 결과를 Encase상에 Bookmark 해서 넣어줍니다.
손으로 해도 되지만 귀찮으니깐; Enscript 연습도 할 겸 만들어 봤습니다.

일단 regripper가 없으면 프로그램을 홈페이지에서 다운 받아 압축을 풀어둔다.

사용법
0. 코드에 하드 코딩된 regripper 경로를 수정하여 준다. (기본값: c:\regripper)
   (변수명 :RegripperPath, Ln:30)
1. 레지스트리 파일들을 선택한다.
2. Enscript를 돌린다.
3. 북마크 된 결과를 보고 좋아한다.

구동순서
1. 파일명의 의해 Registry type을 확인해서 실행 모듈을 선택한다.(없으면 all을 선택)
2. 작업 진행은 console view에 보여준다.
3. 작업이 끝나면 북마크에 'RegRipper Output' 폴더 안에 파일이 북마크 되며 들어간다.
※ 스크립트를 재실행하면 기존의 북마크 데이터는 지워진다.

작동 예시 영상

p.s: 이런게 하루종일 걸리다니 더 멍청해진듯...

<RegRippers_Output_Bookmark.EnScript>

by 용기백배 | 2009/06/08 18:05 | 게시魄杯 | 트랙백 | 덧글(3)

◀ 이전 페이지          다음 페이지 ▶