■ '범국가 사이버 안보' 한시가 급하다
■ Buy F-Response, get a free copy of WFA 2/e!
■ Windows Forensic Analysis 2E - a review
■ START methodology, The need for speed
■ Acclerating Response...
■ More on EnCase Portable
■ Directory Link Counts and Hidden Directories
■ What's behind the "Nine Ball" attacks?
■ Ghosts and Forensic Images
■ Ether: Malware Analysis via Hardware Virtualization Extensions
■ 컴퓨터간 데이터를 전송을 가능하게 해주는 Cool Drive U360
■ Forensic 4cast Awards
■ 용기백배 EnCE 합격
미국은 사이버전을 담당할 부대를 만들어서 늦어도 올 말이면 정상 운영 될 듯 싶은데..
관련해서 DoD 구직글도 언뜻 보였고...우리 상황은 어떤지 모르겠다. 아마 크게 공격 당해봐야
대응을 하지 않을까...최근 CSO 협의회를 만든것 까진 좋았는데 그것과 별개로 사이버 '전쟁'에
대해서도 심각히 고민해봤음 좋겠다.
■ Buy F-Response, get a free copy of WFA 2/e!
서로간에 정말 교류가 많은듯 싶다. 대인배 M.Shannon이 역시 쏜다.F-Response를 사면 WFA 책을..
■ Windows Forensic Analysis 2E - a review
역시 극찬... 꼭봐야겠네요 바쁘지만, 책 오는대로 1달 목표 잡고 봐야겠어요. 메모리와 휘발성 증거
수집 분석, 레지스트리 분석, 도구들의 한계, 윈도우 포렌식의 내용을 포함 한다고 합니다.
■ START methodology, The need for speed
hogfy가 소개하는 Simple Triage And Rapid Treatment 라는 방법론, 개인적인 느낌으론 결국 간단히
말해보자면 고전적인 이슈인 선택과 집중을 통한 분석 속도 내기 정도가 아닐까 싶다. 아닌가?-_-;;ㅋ
할수 있다/없다간의 문제는 별로 발생치 아니한다. (고객이 요구 하는)시간내에 결과물을 줄 수 있는가에
관한 문제가 늘 겪게 되는 문제다. "암호화된 하드요? 복호화 하면 볼수 있어요. 6달만 기다려주세요."
라고 하는건 따귀 맞기 딱 좋은 대사다. 이런 멘트를 날리려면 고객이 K1을 즐겨 보지 않길 바라자...
■ Acclerating Response...
위와 연계한 포스트로 인상적인 문장이 보인다.Bottom line, why waste time imaging a suspect drive(s) before you've made the determination쓰잘데기 없는걸 이미징 하는 것은 시간, 돈, 노력, 저장공간의 낭비이다. 다행히 이번에 산 시스템은
whether that drive needs to be imaged.
그걸 방지 하기 위한 최소한의 장치가 있어 다행이다=_=
■ More on EnCase Portable
EnCase Portable에 대한 보다 자세한 설명. 홍보용 PDF도 보시고 영상도 보시고...
늦게 나옴감이 있지만, 괜찮아 보인다. 커스터마이징만 자유롭다면, 사서 쓰고 싶은대 가격이 얼마일지?;;
■ Directory Link Counts and Hidden Directories
Link 갯수가 맞지 않은건 뭔가(Rootkit)가 임의로 히든 시켰다는 이야기므로 루트킷의 존재 여부를 확인 할
수 있다.는 내용 <여기> 에서 다운을 받을 수도 있고, 이런식의 접근 방법은 내가 참 좋아 하는 방법이다.
공격자가 미쳐 생각지도 못한 간단한 트릭의 활용 :) 이거 까지 맞춰가며 감추려면 여간 손이 많이 가는게
아니다. 호호호
■ What's behind the "Nine Ball" attacks?
국내에서도 잠깐 기사가 나왔었는데, Nine ball에 대한 집중 분석 포스팅...이해도 잘 안된다는-_-;ㅋ
■ Ghosts and Forensic Images
고스트 이미지와 포렌식 이미지간의 차이... 좋은게 좋은거라고 그게 그거라고 생각하는 사람들이 간간히
있긴한데...그 오해를 풀기 위한 좋은 글, 간단하게 말하자면 Forensic 이미지는 디스크를 Bit 단위로 복제 해서
다른 디스크나 파일로 저장하는 것이고, 고스트 이미지는 사용중인 파일들만 복제 해서 만드는 것이다.
따라서 unallocated cluster나 slack 영역에 대한 조사는 불가능해지며 삭제 데이터의 복구 역시 불가능하다.
■ Ether: Malware Analysis via Hardware Virtualization Extensions
하드웨어 가상화로 맬웨어 분석을 하는 프레임웍이라는데, 여름에 릴리즈 계획이 있다고 한다. 나오면
한번 써봐야겠다. 개인적으론 그다지 활용할 기회나 실력이 없어 관심이 적지만...
■ 컴퓨터간 데이터를 전송을 가능하게 해주는 Cool Drive U360
으아 전 이게 정말 필요해요~ 아직 국내엔 안나온듯 싶긴한데...ㅠ_ㅠ
혹시 파는데 아시면 제보 좀...
■ Forensic 4cast Awards
얼마전부터 추천을 받더니 추천 받은 상위 3 후보들을 가지고 투표를 시작 하였습니다.
Outstanding Contribution to Digital Forensics (Individual) 부분에 Carvey가 없는게 좀...쩝
블로그랑, 서적에 이어 트리플 크라운이 가능했을지도 몰랐는데...2개 부문 이상은 짜른건가?-_-;
FTK나 EnCase 둘다 안보이네요. 업계 영향력에 비하면 좀 이상한듯, 너무 당연해서 추천을 안하셨나...
Volatility도 안보이고..아무튼 이거 보니 몰랐던(혹은 과소 평가했던) 툴들이 몇개 있네요
SANS의 Rob lee씨도 눈에 띄고...투표하고 와야겠어요~ 여러분도 한번씩...
(사실 이런거 말고 대통령 투표나 열심히 해야 하는데...)
■ 용기백배 EnCE 합격
아?! 이건 단신이 아니구나. ㅋㅋㅋ 그냥 어떻게든 자랑하고 싶어서....'- ' 이전에 CISSP 땄을때보다
감동은 덜하지만 그래도 기분은 좋은듯... 아직 자격증은 안왔는데, 진행이 참 오래 걸리네. 답안 보낸게
언제인데 -_- + 아무튼 가이던스는 좀 거만하단 말이야
바쁜 와중에도 이것저것 tip을 주시고 도와주신 분들께 감사를...
덧글
xeraph 2009/06/28 20:39 # 답글
오 축하드림다 ㅋㅋ
후미후 2009/06/28 22:50 # 삭제 답글
이야~~~ 축하드립니다. 분기별 순번대로 발표한다고 그러던데 한 2달 걸리셧겟죠?
goldwine 2009/06/28 23:23 # 삭제 답글
유용한 글 올려주셔서 감사합니다
용기백배 2009/06/29 19:49 #
좋은글을 퍼온것 뿐이지요 :) 저도 원저자들에게 감사한 마음을 가지고 있습니다.
ww0jeff 2009/06/29 08:58 # 답글
축하드려요~~ :-)
joseph1020 2009/06/29 09:49 # 삭제 답글
축하드립니다. ^^
머엉ver2 2009/06/29 12:41 # 답글
밸리지나가다가 들렀습니다.링크 납치해갑니다. ㅎㅎ
용기백배 2009/06/29 19:50 #
^^ 밸리에선 순식간에 지나가는줄 알았는데 ㅋ 거길 통해서도 오시는군요;;
용기백배 2009/06/29 19:48 # 답글
xeraph님, 후미후님, ww0jeff님, joseph1020님 : 감사합니다-_-ㅋ; 생각보다 의외?로 많은 분들의 축하를..ㅎㅎ의도삼아 올린 보람?이 있군요;; 아참 최종 레포트 제출 후 약 한달만에 메일 받았습니다. 배송까지 또 한달쯤 걸릴 것 같습니다.
후미후 2009/06/30 13:17 # 삭제 답글
어제 술먹고 회사에 자버렸지요~~아침에 문득 전에 말씀해 주셧던 헤라클을 먹었는데 이제 좀 살것같습니다. ㅡ,.~
용기백배 2009/07/02 12:20 #
앗 마법의 약을 드셨군요ㅋㅋ 개인차가 있는거 같은데 전 그거 먹고 완전...술판 새로 시작 가능할정도...ㅋ
Suban 2009/07/01 09:57 # 삭제 답글
축하드려요~ ^^ 가이던스가 거만한 거였군요..ㅋㅋ 그저 느려터진줄만 알았는데..ㅋ
용기백배 2009/07/02 12:25 #
아 느낌상 좀 거만한듯...대기업들은 다비슷한가봐요-_-;
willow 2009/07/07 11:31 # 삭제 답글
가이던스는 생각보다 중소기업입니다.그러나 기술력은 튼실한...
일전에 가이던스 본사에서 교육 받았는데, 건물 전체를 쓰는것도 아니고 층 2-3개정도를 임대해서 사용하더군요...
용기백배 2009/07/11 12:45 #
음...매출은 중소라고 보기엔 좀 많을것 같은대=_=;그렇군요. 전 미쿡엔 가보질 못했어요 ㅠ_ㅠ
CharSyam 2009/07/13 03:35 # 삭제 답글
오호 EnCE 따셨군요? 그럼 혹시 교육 다 받으신건지?FTK 쪽에서도 자격증이 있던데, 그것도 따보시는건? ㅎㅎㅎ ^^
용기백배 2009/07/13 09:15 #
아 교육의 혜택은 받질 못하였습니다. 가난해서...짜장면시켜먹기도 힘들어서...ㅠ_ㅠFTK보다 GIAC쪽을 노리고 있긴 한데 올해는 짬이 안될듯하네요 흑흑;
일을 좀 줄여야 할텐대 휴...
charsyam 2009/07/13 11:05 # 삭제 답글
오오 GIAC 도 노리시는군요. 멋지십니다.
용기백배 2009/07/14 13:39 #
노린다긴 뭐하는대-_-;;;언젠간 따보려고 생각중입니다. 미국가서 보는건 너무 빡실것 같구-_ㅜ