■ The Push for Live Forensics
이 글 꼭 읽어보세요. 술 약속 있으시죠? 그거 30분만 늦게 가시고 이거 읽고 가세요.-_-
이전의 단계에서 'Dead Forensic'이 최선의 접근법이였다고 한다면, 이제는 Live가 짱이다는
뻔한? 내용과 함께 예를 몇개 보여주는데 이게 꽤 유익합니다. 특히 공개된 The Ninth U.S.
Circuit Court of Appeals 관련 설명은 국내에서 접하기 힘든 내용입니다. 특히 아랫 부분
■ Decrypting a PointSec Encrypted Drive Using Live View, VMWare, and Helix
PointSec 암호화 걸린 드라이브를 복호화 해서 보는 방법... 이러한 과정은 '죽은' 하드를 살려
보겠다는 취지다. 역시 '살아 있는' 하드를 함부로 죽여선 안될꺼 같다. 개념은 매우 단순하다.
복호화 디스크를 만들고 암호화된 하드를 붙여서 Live View로 살리면서 전에 만들어진 복호화
디스크로 시동...근데 이게 막상 하려면 손이 많이 간다. 실제로 하다보면 이것저것 문제가
생기기도-_-;; 전형적으로 윈도우가 자기 깔렸던 PC아니라고 뻐대는 경우-_-;;난감;;아무튼
Chad Holmes가 댓글에 달아놓은 방법도 꽤 쿨해보인다. 둘다 약간 목적이 달라 어느게 낫다고
하긴 힘든것 같다. 둘다 숙지 하는게 좋겠다.
■ Best Practices In Digital Evidence Collection
The need for changes 부분에서 다양한 현재의 양상을 설명하며, Digital Evidence 수집 방법에
변화가 필요하단 이야기와 함께 Best Practices를 소개하고 있다.이것도 뼈와 살이 되는 글 강추!
■ 날아간 하드.. 복구하기 전 주의사항
파코즈에는 정말 전문가들이 많은듯... 이 분께서는 직접 몸으로 부딪혀 정리 하신듯 싶다.
소중한 자료...맨날 앉아서 책만 파지 말고 이렇게 실제 테스트를 통한 체험이 필요하다.
물론 실전 복구 위주라 관점이 약간 다르긴 하지만...음 한번 읽어보는게 큰 도움이 되실듯,
■ DKOM 탐지 방법
DKOM으로 프로세스를 숨기는 루트킷 탐지 방법!, 난 루트킷이 ActiveProcessLinks 조작만 있는줄
알았는데, HandleTableList란것도 조작하는게 있구나-_-;;역시 오묘하다.ㅋ Suban님 덕에 좋은거
알았다는=_= ㄳㄳ
■ The Top Cyber Security Risks
SANS에서 발표한 최근 사이버 위협에 대한 보고서? 농축해서 잘 정리된 듯 싶다. 신난다.
■ Guidance' EnCase(R) Certified eDiscovery Practitioner
공장장님께서 이미 포스트 하신 글: EnCEP - EnCase Certified eDiscovery Practitioner?
프로그램 안내문: EnCase(R) Certified eDiscovery Practitioner Program
whereismydata에 올라온 장단점글: E-Disclosure Qualification
음, 이걸 자격증으로 개발해내다니...쩝 아직 국내에선 효용성이 그다지...@_@ 디스커버리 제도가
도입이 되면 좀 활발해질것 같다. 우리나라사람들 자격증 따는건 뭐 짱이니깐-_- 그때가서 따도...
그게 아니면 외국 취업을....+_+
■ Windows Scheduler (at job) Forensics
리눅스 시스템의 cron 같은 At으로 등록된 작업 목록 확인 방법... 흐음
■ 개인 PC 데이터 유출 방지 솔루션 무상배포
윽 제가 종이에 적어놨던건대...솔루션이 나왔군요! 특허까지@_@;;
네 이런게 진작 나왔어야죠 뭐 내가 못했으니깐 할말 없고; 여기에 트래픽도 감지 해서 이상한거
잡아내는 버젼도 있겠죠? 보니깐 Suite이 많던대...아무튼 건승하시길!
■ Importing Hashsets into EnCase (Part 1), (Part 2)
예전에 올라왔던 비디오랑 다른건가?-_-;;새삼 올라왔다.
■ Network Forensics Puzzle
얼마전 나간 네트워크 포렌식 퍼즐 답안 수상작; 이것말고도 솔루션이 몇개 더 있는데...
이놈들 차원이 다르다-_-
■ The Death of Forensic Imaging - Part II
Live로 간다는 포스트가 유독 많이 눈에 띤다. 그나저나 디스커버리 쪽 블로그는 왜 이리 글을
좁게 쓰는거야-_-;; 기록처럼 쓰나;;좀 보기 답답하다는...
■ listview, treeview 등의 데이터 추출 (Sys Explorer)
jeff님께서 간만에 포스팅을 해주셨다~ 이게 근데 기본 컨트롤 아님 안먹히는듯-_ㅜ
■ Digital Forensics: Great Need, New Careers - Rob Lee, SANS Institute
Rob lee의 인터뷰 팟캐스트랑 기사 팟캐스트랑 똑같은건가? 똑같으면 이거로 영어공부나-_-;;
■ AccessData FTK 3 Preview
FTK 3 프리뷰네요. 음, 모르겠습니다. EnCase 쫓아가긴 힘들듯 싶고, 다른 니치 타겟 벤더들에겐
들들 볶이는 입장이 아닐까 싶은데, 어떻게 진행될진 두고봐야 알겠지요.
FTK UI 영상은 <여길>클릭~
■ Helix 3 Enterprise review
남의 떡이 커보인다고 UI가 제법 괜찮은 것 같다.-_-;;써보고 싶다;;;
개인적으론 FTK보다 이게 더 땡기는듯;;
■ Guardian Digital Forensics Releases Drive Prophet Professional - Forensic Edition
헉 써보고 싶다. Prophet! 하악하악; 그나마 메뉴얼이 올라와 있어 대충 짐작해본다-_-
GDF 버젼인가보다-_-;; 데모 돌려본거랑 비교 했을때 비슷비슷한듯
■ Mounted Devices GUID 분석
최근 알게된 프로니어님 블로그에서 보고 링크~
좋은 글이 많이 올라온다.
■ Directory Entry
마찬가지로 프로니어님 블로그에서 보고 업어온글... 처음 공부할 때 디렉토리 엔트리란게
상당히 헷갈리는데 직접 테스트도 해보시고 하나 하나 찍어가며 적어주셔서 많이 도움이
되는 글이다.
■ Lance표 EnScript 몇개...
Lance 블로그 분위기가 좀 밝아졌다. '화사~' 뭐 이런 느낌? 맨날 리더기로 받아봐서 몰랐는대-_-ㅋ;
■ All Computer Forensics Professionals Are Not Created Equal
Larry 좀 전투적인듯? 수염도 좀 무섭게 생기긴 한거 같아....
Dark Reading에 올라온 기사를 보고 좀 잘못되었다 이런것 같은대
우리나라 같으면 원래 그런거지 뭐 하고 넘어갈텐대...좀 까칠한것 같기도 하고, 저러는게
맞는것 같기도 하고 잘 모르겠음...그냥 받아보는 입장에선 다 도움되는 글일뿐-_-ㅋ
Dart Reading 글도 좋은 글이라 생각했는데 흠...
■ How Is Computer Forensics Different from Incident Response?
위의 글에 이어서 누가 댓글에 IR과 CF가 다른점이 뭐냐고 하자 올라온 글...
Rob lee도 댓글로 껴들었다...-_-;;;나도 이부분이 늘 헷갈리는 부분
IR 전문가와 CF 전문가와 어떻게 다른 것인가? 아니면 같은 것인가?...
읽어봐도 헷갈린다는-_-ㅋ 그래서 어쩌자는거야;;
■ Windows Photo Gallery artifacts
비스타부터 있는 Photo Gallery 조사에 관한 짧은 내용
■ Where was Waldo?
진짜 너무 하는거 아님? Carvey는 정녕 넘사벽 너머의 인간이란 말인가...
MAC이래봤자 끽해야 제조회사나 알아볼줄 알았지...이렇게까지-_-;; 무선인터넷이여야만 하는듯
당연히 국내에서 실현은 거의 불가능-_-하지만, 그래도! SkyHook WiFi Geolocation database를
이용해서 지리적 위치까지 파고 들다니...뭐 제약 사항이 많긴 하지만...이정도까지 파고 들었다는게
어디냐는... 엥간히 의미 있는건 Carvey가 다하네... 남들은 뭐하라고....-_ㅜ
■ GIAC Certifications in High Demand: GCFA (GIAC Certified Forensic Analyst)
아 요걸 한번 따긴 해야겠는데...흠
■ Beta version of NirLauncher package is available to download
앗 베타가 나왔군요 -_-ㅋ 넷웍으로도 받을수 있는것 같고 미리 100개를 packing 해놓은듯 보입니다.
■ USB Device Parsing Logparser Scripts
오옷 USB 기록을 파싱하는 logparser 스크립트, 약간 아쉽지만 활용도는 있지 않을까 싶다.
■ MacForensicsLab releases free tool for investigating crimes against children
MacForensics이라... 역시 맥을 사달라 해야겠군! 뭐 꼭 그게 필요한건 아니지만...=_=
내가 뭐 뽀대 때문에 이러는건 아니고...맥쓰면 왠지 차가운 도시 남자 같자나...
하지만 내 여자에겐 따뜻하겠지... 음? 이건 아닌가...;;;
(마음의소리 영향으로 자꾸... 내여자에겐 따뜻해지고 싶...)
■ Review Platform – eView
e-discovery 솔루션은 따로 본게 없는데 이거 보면 대충 어떤 기능들로 구성되어 있구나 유추? 가능
하다는... 이런거도 써보고 싶긴하지만 아직은 많은 욕심인 듯 싶다.
■ The Failed Hard Drive, the Toaster Oven, and a Little Faith
SANS에도 이런 글이.... 하드디스크 구동이 잘 안되서 오븐에 구었더니 잘되더라 뭐 이런거 맞나요?
맞으면 완전 웃긴건데?-_-;; 인증샷을 요구 하고 싶어진다는....@_@
좀 차길래 오븐에 살짝... 좀 위험해보이는데-_- 이거 따라 하다 어디 터지는거 아님?
글이 전체적으로 좀 웃긴....
■ Computer Forensic Exam of Najibullah Zazi’s Laptop
실제 Case의 판결문인듯? 음...수사 기록이 아니라 좀 아쉽지만...자세힌 못봤지만 실제로
테러리스트의 Laptop의 분석 결과가 증거로 활용된 것 같다.
아 테러리스트 이름이 사건을 이해 하는데 방해가 되고 있... '-';
■ 삭제된 파일 복원 프로그램 : Recuva 1.31.437
Recuva 라고 예~전에 쓰던 프로그램인데...난 삭제 전문 툴인줄 알았는데 복원도 되네...
벌새님 덕에 알게 되었다. 한번 써봐야지..
이 글 꼭 읽어보세요. 술 약속 있으시죠? 그거 30분만 늦게 가시고 이거 읽고 가세요.-_-
이전의 단계에서 'Dead Forensic'이 최선의 접근법이였다고 한다면, 이제는 Live가 짱이다는
뻔한? 내용과 함께 예를 몇개 보여주는데 이게 꽤 유익합니다. 특히 공개된 The Ninth U.S.
Circuit Court of Appeals 관련 설명은 국내에서 접하기 힘든 내용입니다. 특히 아랫 부분
"In plain view will no longer work for computer investigations,결국 글이 광고로 마감되는거 같아 아쉽지만,그럼에도 불구하고 가치있는 글이라 생각 합니다.
and large collections of computer data will not be allowed to leave the site."
■ Decrypting a PointSec Encrypted Drive Using Live View, VMWare, and Helix
PointSec 암호화 걸린 드라이브를 복호화 해서 보는 방법... 이러한 과정은 '죽은' 하드를 살려
보겠다는 취지다. 역시 '살아 있는' 하드를 함부로 죽여선 안될꺼 같다. 개념은 매우 단순하다.
복호화 디스크를 만들고 암호화된 하드를 붙여서 Live View로 살리면서 전에 만들어진 복호화
디스크로 시동...근데 이게 막상 하려면 손이 많이 간다. 실제로 하다보면 이것저것 문제가
생기기도-_-;; 전형적으로 윈도우가 자기 깔렸던 PC아니라고 뻐대는 경우-_-;;난감;;아무튼
Chad Holmes가 댓글에 달아놓은 방법도 꽤 쿨해보인다. 둘다 약간 목적이 달라 어느게 낫다고
하긴 힘든것 같다. 둘다 숙지 하는게 좋겠다.
■ Best Practices In Digital Evidence Collection
The need for changes 부분에서 다양한 현재의 양상을 설명하며, Digital Evidence 수집 방법에
변화가 필요하단 이야기와 함께 Best Practices를 소개하고 있다.이것도 뼈와 살이 되는 글 강추!
■ 날아간 하드.. 복구하기 전 주의사항
파코즈에는 정말 전문가들이 많은듯... 이 분께서는 직접 몸으로 부딪혀 정리 하신듯 싶다.
소중한 자료...맨날 앉아서 책만 파지 말고 이렇게 실제 테스트를 통한 체험이 필요하다.
물론 실전 복구 위주라 관점이 약간 다르긴 하지만...음 한번 읽어보는게 큰 도움이 되실듯,
■ DKOM 탐지 방법
DKOM으로 프로세스를 숨기는 루트킷 탐지 방법!, 난 루트킷이 ActiveProcessLinks 조작만 있는줄
알았는데, HandleTableList란것도 조작하는게 있구나-_-;;역시 오묘하다.ㅋ Suban님 덕에 좋은거
알았다는=_= ㄳㄳ
■ The Top Cyber Security Risks
SANS에서 발표한 최근 사이버 위협에 대한 보고서? 농축해서 잘 정리된 듯 싶다. 신난다.
■ Guidance' EnCase(R) Certified eDiscovery Practitioner
공장장님께서 이미 포스트 하신 글: EnCEP - EnCase Certified eDiscovery Practitioner?
프로그램 안내문: EnCase(R) Certified eDiscovery Practitioner Program
whereismydata에 올라온 장단점글: E-Disclosure Qualification
음, 이걸 자격증으로 개발해내다니...쩝 아직 국내에선 효용성이 그다지...@_@ 디스커버리 제도가
도입이 되면 좀 활발해질것 같다. 우리나라사람들 자격증 따는건 뭐 짱이니깐-_- 그때가서 따도...
그게 아니면 외국 취업을....+_+
■ Windows Scheduler (at job) Forensics
리눅스 시스템의 cron 같은 At으로 등록된 작업 목록 확인 방법... 흐음
■ 개인 PC 데이터 유출 방지 솔루션 무상배포
윽 제가 종이에 적어놨던건대...솔루션이 나왔군요! 특허까지@_@;;
네 이런게 진작 나왔어야죠 뭐 내가 못했으니깐 할말 없고; 여기에 트래픽도 감지 해서 이상한거
잡아내는 버젼도 있겠죠? 보니깐 Suite이 많던대...아무튼 건승하시길!
■ Importing Hashsets into EnCase (Part 1), (Part 2)
예전에 올라왔던 비디오랑 다른건가?-_-;;새삼 올라왔다.
■ Network Forensics Puzzle
얼마전 나간 네트워크 포렌식 퍼즐 답안 수상작; 이것말고도 솔루션이 몇개 더 있는데...
이놈들 차원이 다르다-_-
■ The Death of Forensic Imaging - Part II
Live로 간다는 포스트가 유독 많이 눈에 띤다. 그나저나 디스커버리 쪽 블로그는 왜 이리 글을
좁게 쓰는거야-_-;; 기록처럼 쓰나;;좀 보기 답답하다는...
■ listview, treeview 등의 데이터 추출 (Sys Explorer)
jeff님께서 간만에 포스팅을 해주셨다~ 이게 근데 기본 컨트롤 아님 안먹히는듯-_ㅜ
■ Digital Forensics: Great Need, New Careers - Rob Lee, SANS Institute
Rob lee의 인터뷰 팟캐스트랑 기사 팟캐스트랑 똑같은건가? 똑같으면 이거로 영어공부나-_-;;
■ AccessData FTK 3 Preview
FTK 3 프리뷰네요. 음, 모르겠습니다. EnCase 쫓아가긴 힘들듯 싶고, 다른 니치 타겟 벤더들에겐
들들 볶이는 입장이 아닐까 싶은데, 어떻게 진행될진 두고봐야 알겠지요.
FTK UI 영상은 <여길>클릭~
■ Helix 3 Enterprise review
남의 떡이 커보인다고 UI가 제법 괜찮은 것 같다.-_-;;써보고 싶다;;;
개인적으론 FTK보다 이게 더 땡기는듯;;
■ Guardian Digital Forensics Releases Drive Prophet Professional - Forensic Edition
헉 써보고 싶다. Prophet! 하악하악; 그나마 메뉴얼이 올라와 있어 대충 짐작해본다-_-
GDF 버젼인가보다-_-;; 데모 돌려본거랑 비교 했을때 비슷비슷한듯
■ Mounted Devices GUID 분석
최근 알게된 프로니어님 블로그에서 보고 링크~
좋은 글이 많이 올라온다.
■ Directory Entry
마찬가지로 프로니어님 블로그에서 보고 업어온글... 처음 공부할 때 디렉토리 엔트리란게
상당히 헷갈리는데 직접 테스트도 해보시고 하나 하나 찍어가며 적어주셔서 많이 도움이
되는 글이다.
■ Lance표 EnScript 몇개...
EnScript to summarize visited Internet hosts상당히 활발히 올려준다. EnPack만 아니면 정말 더+더 고마울텐대...
EnScript to show what folders have certain file types, calculate total bytes and number of files.
EnScript to alert you if there is data in the unused disk area of a physical device
EnScript to find and bookmark foreign language files & folders
EnScript to Catagorize all files by their extension and then provide a count
EnScript to search unallocated for built-in File Signatures
Lance 블로그 분위기가 좀 밝아졌다. '화사~' 뭐 이런 느낌? 맨날 리더기로 받아봐서 몰랐는대-_-ㅋ;
■ All Computer Forensics Professionals Are Not Created Equal
Larry 좀 전투적인듯? 수염도 좀 무섭게 생기긴 한거 같아....
Dark Reading에 올라온 기사를 보고 좀 잘못되었다 이런것 같은대
우리나라 같으면 원래 그런거지 뭐 하고 넘어갈텐대...좀 까칠한것 같기도 하고, 저러는게
맞는것 같기도 하고 잘 모르겠음...그냥 받아보는 입장에선 다 도움되는 글일뿐-_-ㅋ
Dart Reading 글도 좋은 글이라 생각했는데 흠...
■ How Is Computer Forensics Different from Incident Response?
위의 글에 이어서 누가 댓글에 IR과 CF가 다른점이 뭐냐고 하자 올라온 글...
Rob lee도 댓글로 껴들었다...-_-;;;나도 이부분이 늘 헷갈리는 부분
IR 전문가와 CF 전문가와 어떻게 다른 것인가? 아니면 같은 것인가?...
읽어봐도 헷갈린다는-_-ㅋ 그래서 어쩌자는거야;;
■ Windows Photo Gallery artifacts
비스타부터 있는 Photo Gallery 조사에 관한 짧은 내용
■ Where was Waldo?
진짜 너무 하는거 아님? Carvey는 정녕 넘사벽 너머의 인간이란 말인가...
MAC이래봤자 끽해야 제조회사나 알아볼줄 알았지...이렇게까지-_-;; 무선인터넷이여야만 하는듯
당연히 국내에서 실현은 거의 불가능-_-하지만, 그래도! SkyHook WiFi Geolocation database를
이용해서 지리적 위치까지 파고 들다니...뭐 제약 사항이 많긴 하지만...이정도까지 파고 들었다는게
어디냐는... 엥간히 의미 있는건 Carvey가 다하네... 남들은 뭐하라고....-_ㅜ
■ GIAC Certifications in High Demand: GCFA (GIAC Certified Forensic Analyst)
아 요걸 한번 따긴 해야겠는데...흠
■ Beta version of NirLauncher package is available to download
앗 베타가 나왔군요 -_-ㅋ 넷웍으로도 받을수 있는것 같고 미리 100개를 packing 해놓은듯 보입니다.
■ USB Device Parsing Logparser Scripts
오옷 USB 기록을 파싱하는 logparser 스크립트, 약간 아쉽지만 활용도는 있지 않을까 싶다.
■ MacForensicsLab releases free tool for investigating crimes against children
MacForensics이라... 역시 맥을 사달라 해야겠군! 뭐 꼭 그게 필요한건 아니지만...=_=
내가 뭐 뽀대 때문에 이러는건 아니고...맥쓰면 왠지 차가운 도시 남자 같자나...
하지만 내 여자에겐 따뜻하겠지... 음? 이건 아닌가...;;;
(마음의소리 영향으로 자꾸... 내여자에겐 따뜻해지고 싶...)
■ Review Platform – eView
e-discovery 솔루션은 따로 본게 없는데 이거 보면 대충 어떤 기능들로 구성되어 있구나 유추? 가능
하다는... 이런거도 써보고 싶긴하지만 아직은 많은 욕심인 듯 싶다.
■ The Failed Hard Drive, the Toaster Oven, and a Little Faith
SANS에도 이런 글이.... 하드디스크 구동이 잘 안되서 오븐에 구었더니 잘되더라 뭐 이런거 맞나요?
맞으면 완전 웃긴건데?-_-;; 인증샷을 요구 하고 싶어진다는....@_@
좀 차길래 오븐에 살짝... 좀 위험해보이는데-_- 이거 따라 하다 어디 터지는거 아님?
글이 전체적으로 좀 웃긴....
■ Computer Forensic Exam of Najibullah Zazi’s Laptop
실제 Case의 판결문인듯? 음...수사 기록이 아니라 좀 아쉽지만...자세힌 못봤지만 실제로
테러리스트의 Laptop의 분석 결과가 증거로 활용된 것 같다.
아 테러리스트 이름이 사건을 이해 하는데 방해가 되고 있... '-';
■ 삭제된 파일 복원 프로그램 : Recuva 1.31.437
Recuva 라고 예~전에 쓰던 프로그램인데...난 삭제 전문 툴인줄 알았는데 복원도 되네...
벌새님 덕에 알게 되었다. 한번 써봐야지..
덧글
뎅꽁이 2009/10/05 21:37 # 삭제 답글
이제 프로니어님 블로그도 구독하시는 군요 저도 세세한 부분에 배우고 있습니다 ^^
용기백배 2009/10/06 09:08 #
네=_= 이제 피드목록이 점차 비대해져서 걱정입니다. ..);
xeraph 2009/10/05 21:39 # 답글
토스트 대박 (...)
용기백배 2009/10/06 09:10 #
HDD Fail에서 시작해서 oven으로 가더니 후반부에선 god를 찾는...왠지 SANS의 다른 글들과 매치가 안되지만 유쾌한 글인듯-_-ㅋ 전 이런거 좋아하다보니 ㅋ;
joseph1020 2009/10/06 09:36 # 삭제 답글
당신의 열정이 곧 당신의 결정. 따라가기도 벅차네요 진짜. +_+
joseph1020 2009/10/06 09:36 # 삭제
참, NCHOVY 블로고 스피어에도 등록되셨더라구요. 축하드려요~ ^^
용기백배 2009/10/06 23:36 #
헛; 공장장님 포스트 보고 적는건대요-0-;nchovy는 예전에 xeraph님께서 해주셔서...이후에 접속수가 폭발적으로...
덕분에 한자리수를 탈출했죠..)
뎅꽁이 2009/10/11 20:45 # 삭제 답글
용기님 글이 여기에도 걸렷네요. 전에 대표님하고 이메일로 연락했던게 기억나는군요올만에 방문했는데 걸려있나요
http://www1.f-response.com/index.php?option=com_content&view=article&id=173&Itemid=56
용기백배 2009/10/12 09:17 #
네 -_-ㅋ 제가 시험판을 덥썩 물어가지고;;; 후기를 안쓸수가 없었거든요 ㅋ;F-Response는 정말 물건인듯 @_@