090612 포렌식 단신 모음 소식백배

밀린 피드를 한번에 보려니 빡시네요. 꽤 덥기도 하고...전 더위에 너무 약해서 ...
겨우겨우 정리 했지만, 아직도 많이 남았다는...-_-; 이게 12일까지 모음
Microsoft Bans Memcopy()
이거 파장이 꽤 클줄 알았는데, 뉴스 올라오고 1달이 지났지만, 국내에선 별다른 반응이 없네
개발자 커뮤니티쪽에선 난리가 났으려나? IT 관련 블로거이신 서명덕님께서 발빠르게 포스팅
해주신 것 외엔 못본듯. 이거 memcopy를 활용하는 기법들 타격 좀 클듯...즐겨쓰던 함수였는데..

Perl-Fu: Regexp log file processing
grep툴과 정규식을 이용한 로그 파일 처리, 이런거 좀 잘 이용하면 좋을텐대...
얼마전 모기업에서 본 상황 로그 추출 조건 몇개 가지고 일단 grep후 결과에 대한 또 grep 후 grep
보다가 그냥 눈을 감고 명상..차라리 윈도우로 불러서 Logparser라도 쓰라고 하고 싶었는데..
아무튼 정규식은 참 오묘한듯...ㅋ 쓰기 쉽고 효과 좋고...

What roles are there in computer forensics?
포렌식 관련 직업이 뭐가 있는가..
ㆍData Recovery - Physical and Logical Recovery
ㆍComputer Forensics - Collection, Imaging & Media Handling, Processing/Searching
ㆍForensic Investigation - Civil Work
ㆍForensic Investigation – Police Subcontract work
ㆍForensic Investigation – Mobile Phones
ㆍForensics (Senior) Managers
ㆍForensics Developer/Coder
기존의 상식보다 좀 더 많은 분류인듯... 열심히 공부 하고 있지만 난 어디로 가게 될지 잘 모르겠다.

EFF, ‘해커’에 대한 압수 수색영장 무효 주장
음, 이거 기사 말미가 좀 중요한듯
"수색영장에 관한 판결이 칼릭스테가 모든 혐의로부터 완전히 자유롭다는 것을 의미하지는 않는다며
현재까지 수집된 모든 증거가 향후 재판에서 이용되는 것을 금지해달라는 칼릭스테의 변호사의
요청은 기각했다."
괜한 오해로 잘못된 길로 들어서는 분이 없기를...

File System creation date vs. Operating System install date - Part I
앗 이런 개념 포스트, 역시 Lance...가끔 디스크 분석시에 만나게 되는 이상한 현상..
MFT생성시간과 OS설치 시간이 역전되는 경우...이 글에서 나온대로 TimeZone과 관련하여
지역설정이 OS설치시 이루어진다는 점도 알아야겠지만, 최근에는 고스트 이미지등으로 일괄적
복구를 통해 TimeStamp가 이해하기 힘들게 바뀌어 있는 경우도 있다.
디스크의 주인이 뭔가?를 감추기 위하여 이전의 고스트 이미지로 돌려 놓은 경우 OS 설치 시간은
이전 그대로 유지 하고 있는 상황을 만나 각 파일들의 생성 시간과 많이 혼동 되는 경우가 발생하는데
이 부분을 신경 써서 잘 파악해야 자칫 발생하는 실수를 줄일수 있다. 요런게 미쳐 생각못하면,
뭐에 홀린듯 실수 할수 있다.

Deeply Embedded Metadata
Embedded Metadata에 대해서 좀 헷갈리신다면, 그냥 파일에 저장된 메타데이타로 보심 될듯,(그럼 일반
메타 데이터는 뭐냐고? 그건 OS나 DB같이 그 파일들을 Management 하는 애들이 가진 메타데이터...)
아무튼 특히 오피스 계열에 저장되어 있는 이런 정보는 중요하게 활용될 가능성이 참으로 큰 정보들이다.

Forensics of BitTorrent
오랜만에 보는 가치 있는 논문...이런걸 내놓는게 대학의 역활 아닌가 싶다. 아니 국내 대학들은 뭐하나..
다만 BitTorrent 활동을 분석할 일이 그다지 많이 발생할 것 같진 않다는 ... 왜냐면 아직 분석 요구자들이
그게 뭔지 잘 모르..-_-;하지만 조만간 이걸 유용하게 써먹을 기회가 올것 같은 느낌이 온다-_-;;;

아이템베이 DDoS 공격 범인검거됐다!
기뻐해야하나 말아야하나... 사실 국제적인 문제만 어느정도 해결되면 이런놈들 잡는건 문제도 아닐듯한데..
이런 문제에 대응하기 위한 UN 산하 기관 같은건 어떻게 준비 안되려나...아무튼 힘든 상황에서도 끝까지
노력하신 분들께 경의의 박수를..

CEIC materials
Jamie Levy의 블로그에 올라온 CEIC 관련 발표자료 몇개, 볼만한 자료인듯...
역시나 Volatility가 빠지지 않고 있다.

Update: Win32dd 1.2.2.20090608 (fixes + improvements)
Win32DD가 업뎃이 되었네요 좀 안정적이 되었다고 하는데...이걸 써야 할지 mdd를 써야 할지 ㅋ
주로 mdd를 쓰고 있긴한데...바까볼까...갑자기 좀 세련된 듯한 느낌이..

Undocumented Windows Vista and later registry secrets
레지스트리에서 큰 데이터 처리를 위해 사용되는 CM_BIG_DATA에 관한 글..음 잘 이해를 못하겠다는...
하지만 moyix가 VolReg 0.6, now with BIG_DATA를 포스팅하여 주며, Volatility에서 VolReg를 통해서
지원이 되니 상관 없다는-_-;;ㅋ

Volatility Plug-in for IAT/EAT/Inline Hook Detection
역시 이런건 메모리에서 뽑는게 정확하겠죠? Inline Hook을 손쉽게 찾아 볼수 있는 플러그인

Do you need to wipe a drive before you image to it?
한번 읽어보세요~, 디스크를 다른 디스크로 복제 뜰때는 권고안대로 wiping하는게 맞겠지만, 이미지 파일로
만들때 wiping할 이유는 없다고 봅니다. 만약 wiping 안한다고 이미지 파일내에 다른 내용이 남아 있게 되어
오염이 된다면, 애당초 verify가 될 수 가 없겠지요.

Information Security Incident Rating

Richard Bejtlich이 만든 분류법...총 10단계의 Impact로 구분된다.
  1. Vuln 3 / Impact 1 / Intruder must apply substantial effort to compromise asset and exfiltrate sensitive data
  2. Vuln 2 / Impact 2 / Intruder must apply moderate effort to compromise asset and exfiltrate sensitive data
  3. Vuln 1 / Impact 3 / Intruder must apply little effort to compromise asset and exfiltrate sensitive data
  4. Cat 6 / Impact 4 / Intruder is conducting reconnaissance against asset with access to sensitive data
  5. Cat 3 / Impact 5 / Intruder is attempting to exploit asset with access to sensitive data
  6. Cat 2 / Impact 6 / Intruder has compromised asset with access to sensitive data but requires privilege escalation
  7. Cat 1 / Impact 7 / Intruder has compromised asset with ready access to sensitive data
  8. Breach 3 / Impact 8 / Intruder has established command and control channel from asset with ready access to Sensitive data
  9. Breach 2 / Impact 9 / Intruder has exfiltrated nonsensitive data or data that will facilitate access to sensitive data
  10. Breach1 / Impact 10 / Intruder has exfiltrated sensitive data or is suspectedof exfiltrating sensitive data based on volume, etc.

중국 PC에 강제로 설치될 필터링SW 'Green Dam'의 실체
예전같으면 중국이니깐 쯧쯧 거리며 지나갔겠지만, 요새는 왠지 우리나라에서도 따라할 것 같아 무섭다.
세계적인 흐름이라고 하면서 밀어 부치면 어쩌지?-_-;

Sparsing - New technology set to revolutionise digital forensics.
음 Forensic 이미지의 용량을 줄인다는...게다가 sparsing을 지원하는 툴이면 압축을 풀 필요도 없어 속도
문제도 신경쓸바 아니라는 글인데, EnCae나 FTK는 지원하지 않는다고...음..굳이 두개의 툴이 아니면
써도 좋을것 같은대..언제 써보나...

Department of Defense Digital Security Job Opportunities
미 DoD 자리 하나 났네요. 근데 생각보다 조건이 간단하네...
인공위성 해킹 경험 필수, 핵잠수함 침투 시험 같은 조건은 없네요...

EnCase Forensic v6
가이던스의 성의 없는 메뉴얼에 화가 좀 난듯...근데 가이던스 교육 교재 우연히 봤는데 좀 좋은듯..
제 생각엔 일부러 교육 받게 하려고 대강 만든거 같아요 ㅋ

Find 활용팁
Suban님 포스트에서 보고 Free4U님 포스트 발견, 다양한 활용법이 잘 정리 되어 있다.
(근데 Free4U님 사이트 맨위의 제목이 왜 FEE로...)

Challenge of Windows physical memory acquisition and exploitation
ShakaCon? 처음 듣는 컨퍼런스...같은데 아무튼 거기서 matthieu가 발표한 pdf는 메모리 포렌식의 좋은
메뉴얼인것 같다. 더 자세히 좀 봐야겠다.

덧글

  • xeraph 2009/06/28 02:00 #

    memcpy 막는다는 얘기가 여기서 나온거였군요 흠;
    근데 어차피 warning으로 끝난다면 큰 혼란은 없지 않을까 싶기도 하고 그렇군요 (..)
  • 용기백배 2009/06/28 20:03 #

    아...전 워닝에도 목숨걸던 때가 있어서 ㅋㅋㅋ, memcpy가 아예 막히면 C의 큰 장점 하나를
    잃게 되는것인데...잘 모르겠습니다. 하기사 MS가 해봤자 일단은 자사 컴파일러에서 워닝
    내는게 최대겠지요.
  • xeraph 2009/06/28 20:05 #

    워닝도 다 잡아야 되긴 하지만 별 신경 안 쓰는 사람이 더 많더군요 ㅎㅎ
    VS에서 SDL 옵션을 선택하면 에러로 취급하고 막는다는 얘기가 아닐까 싶네요~
  • 용기백배 2009/06/28 20:22 #

    아니 이런 실시간 댓글을 ㅎㅎ; 전 자세히 알아보진 않았는데, 말씀하신게 맞는거 같습니다.
    더 엄격히 제한한다면 이미 한번 난리가 났겠죠?-_-;; 주말 밤인데, 푹쉬시고 힘찬 주를 보내시길..
  • 가제트 2009/07/15 10:45 # 삭제

    가끔 들리는데 용기님 수고에 항상 감사할 따름입니다.
    덕분에 요긴한 자료들 많이 보고 갑니다.
  • 용기백배 2009/07/19 15:12 #

    ^^ 국장님께서 별볼일 없는 블로그에 들려주시는게 감사할 따름이지요__)
  • 2009/07/15 10:58 # 삭제 비공개

    비공개 덧글입니다.
  • 용기백배 2009/07/19 15:13 #

    비공개님: 에구 댓글달 방법이 없네요^^; 업무는 비슷한 업무를 하고 있습니다.들려주셔서 감사합니다.__)
  • watch movies 2013/05/28 22:26 # 삭제

    I이었다 매우 기쁘게 찾을 수 이 네트워크 - site.I 원 사용자에 대한 감사 귀하에 대한 귀하 시간 이 멋진 읽기 배우고!에게 I 긍정적 즐기는 각 작은 비트 그것과 내가 가지고 당신 북마크 살펴 웹 로그 글 | 새로운 물건 당신 블로그에.


간단 메모














구글리더공유

내 전자서재


encykei[at]gmail[dot]com