Forensics, Digital Behavior 등 뭐 그런거...

최근...이라긴 먼 옛날인 지난달 Ex Forensis 블로그에 Larry는 포렌식 분야를 나누는
조금 색다른 관점을 보여 주었다. 뭐 그쪽에선 원래 그렇게 나눴던것인지 아닌지는
잘 모르지만 책이나 다른곳에서 본것 혹은 국내 영역과 비교하면 좀 많이 달랐다.

보통 내가 알던 기존의 분류 방법은 모바일,디스크,DB,네트워크 등 저장매체에 따른
것도 아니고 그렇다고 다루는 자료의 유형에 따른 것도 아니였다. 물론 큰 묶음 단위는
대충 생각해볼때 업무 단위가 아닐까 생각한다. 하지만, 뭔가 범위가 겹치기도 하고
업무 분장이 곤란할때도 많고 좀 그런것 같다.

하지만, 이 글은 좀 더 명확한 선을 그어준다. 3가지로 나뉘게 되는데, 그것은
① Live Forensics, ② Post-mortem Forensics, ③ e-Discovery 이다.
뭐 이것도 그다지 확실해 보이진 않지만 이전보단 나아보인다.

Live Forensics는 말 그대로 휘발성(Volatile) Data를 확보한다는 것이다. 분석가들은
반드시 네트워크 보안에 대해 전문가여야 한다.(OSI, 침투방법,Data 유출, NOS등)

Post-mortem Forensics는 우리가 일반적으로 알고 있는 포렌식이다. 디스크 복구는
물론이며 저장되어져 있는 Data에 대하여 분석을 한다. Live와 조금 다른 점은 Data가
디스크등의 반영구적 저장장치에 저장이 되어 있다는 것이다.

E-Discovery란 엄청난 양의 Data에 대하여 분석을 하는 것에 대하여 말한다. 삭제되고
감추어둔 Data보다는 그냥 있는거에서라도 찾아내자는 게 그 목적이다.  보통 이쪽이
좀 비용이 비싸고 장비도 특수한걸 많이 사용한댄다.

요샌 Data들이 대량화가 되어 가고 있어서 뭐든 디스커버리 측면이 있는것 같다-_-;
꽤 마음에 드는 분류 방법이다. 지금 국내 현실은 Post-mortem이 전부라 가정하고 접근
하는것 같다. 하지만, Live에서의 무결성을 확보하는것이나 디스커버리에서의 효율성을
확보하는것이 앞으로 당면하게 될 문제가 아닐까 싶다.

각 분야마다 나름 재밌는게 다를것 같다.~

점점 이런 날치기 포스트가 잦아진다는 =_=

■ 대법 “스캔한 이미지파일도 문서 위조 해당”

이거 참 법적으론 난감한 문제일듯... 난 모르겠다. 단지 위조한걸 찾아서 위조했다고
말할수만 있다면, 그걸로 내가 할수 있는 일의 전부가 아닐까...

■ 동국대, 사이버포렌식 전공 석사과정 신설

심각히 고민중이다 -_- 돈만 아니면 벌써 원서 냈을텐대...휴.. 뭐 하고 싶은거 다 하고
살수 있는건 아니니깐...교수님들,강사님들 낯익은 이름들이 꽤 보인다 +_+
<국제정보대학원장 인터뷰>

■ AccessData Guidance사에 주식 매입 제안 후 퇴짜

이건 뜬금없이...뭔소리 ㅋ <여기>에 가보면 AccessData에서 올려놓은 제안서가 있다
지난 10.6 자로 보낸 내용인데, 좀 공격적으로 제안한듯한 느낌이 든다. 게다가 내가 뉴스를
처음 접하게 된 블로그에서 주인장은,

"Guidance should now be aware that there are sharks in the water, and they smell blood."

라는 말을 하고 있다. 뭔가 변화가 있긴 있는듯? 아무튼 1위 기업은 어딜가나 견제를 받는거 같다.
근데 좀 심상치 않았던거 같은데 - _-

■ PDF-Parser.py

세상에, 이놈들은 천재들인가? PDF의 메타 데이타를 있는대로 쑥쑥 뽑아주는 프로그램.
기쁘게도 python 프로그램이다. ㅋ 한개 파일밖에 안된다고 했지만, python 된 프로그램은
사실 그건 큰 의미가 아니란걸 알고 있을것이다. 흐흐흐

■ 최근 관심두고 있는 두개의 Forensics 관련 서적

ㆍMac OS X, iPod, and iPhone Forensic Analysis DVD Toolkit (Paperback) - $59.95
ㆍMalware Forensics: Investigating and Analyzing Malicious Code (Paperback) - $62.95
이거...너무 비싼대?-_- 둘다 내용은 좋다고 난리긴한데...빌어먹을 -_ㅜ

■ Meminfo라는 프로그램 소개

윈도우 내부 메모리를 다루는 프로그램(윈 Vista, 서버 2008용)

악성 메모리 모듈을 찾을수 있고, Memory Leak을 추적해볼수 있고, 심지어 루트킷을 찾는데도
사용이 가능하다며 자랑?하며 사용법을 설명해주고 있다. 내 생각엔 Memory Leak 때문에 만든
툴같은데 참으로 유용한것 같다 :)

■ 포렌식 SW에게 기대해야 할것이 무엇인가? 에 관한 글

대충 복구가 가능해야 하고, 이름별로 정리 가능해야 하며, 타입별로도 가능해야 하고 부트섹터
수정도 가능해야 하고 뭐 그런 세세한 이야기들에 대해 적혀있다. 이글이 10월 20일자 글...
바로 다음날 같은 제목에 맨뒤에 NOT라고 붙여 나온글...
잘보았으나 아무래도 실무를 안해보고 쓴글 같다. 그 글에서 정확하지 않은 정보가 보였을 뿐더러
저자의 사이트 곳곳에서 그의 무지함이 들어나있다는 식의 까는 글-_-과 글 말미에는
쓰고 싶은 사람들은 '진짜' 정보를 가지고 쓰거나 적어도 사실을 확인하는걸 배우라는...
두개의 글 자체가 도움은 안됐지만, 상황이 완전 재밌다는...근데 나도 남일같지 않다;;
어줍잖게 올리고 있는데 이거 나중에 욕만 먹는게 아니라 고소당하는거 아냐?-_-ㆀㆀ

■ If you could have any EnScript or filter, what would it be?

나도 이런 생각 많이 했었는데, EnScript나 Filter를 어떤것들을 사용하고 있는지 궁금했던 lance
물어본다-_-ㅋ 다들 친절하게 댓글을 달아줬는데 대충 살펴보면,
ㆍiPhone backup Folder View
ㆍSkype Chat log, user profiles, call log 등
ㆍ메타 데이터를 파싱해서 csv로 빼기
ㆍDCOM Datebase File(이걸 어떻게 사용한단건진 잘@_@;;)
ㆍthumbcache로부터 경로 파악
ㆍActive Reg과 시스템 복구 지점안의 Reg와 비교하기
ㆍVolatility 출력을 보기 좋게 csv로 빼기
ㆍReg의 Run 류
뭐 이런것들인듯, 눈에 띄는 완전 신선한것은 없었지만, 꽤 도움이 되는것 같다 :)

■ EFS(암호화 파일 시스템) 관련 MS 자료

여전히 EFS에 대해 완전히 알지 못하고 있었는데 많이 정리가 되었다. 파코즈 팀게시판에
김용대라는 분이 올려주셨다. 전부 MS의 링크를 참조하여 주셔서 많은 도움이 되었다.
EFS와 비스타의 BitLocker와 비교한 내용도 있고 한글이기도 하고 부담없이 쭉 읽어보면
좋은 링크들이다. 자료 수집과 정리를 잘해주신 파코즌 김용대님께 감사를...
(근데 링크만 퍼오는건 괜찮겠지?-_- 문제가 되면 알려주세요~)

■ Win32dd 1.2 out!

주된 변화는 재부팅 없이도 윈도우의 Crash Dump를 생성해낼수 있는 기능 탑재...메모리
이미지를 바로 WinDbg로 불러올수 있단다. 이런식으로 사용해본적이 없어서 딱히 활용법이
떠오르지 않는다. 일단 그냥 Crash Dump 뜨는것만도 좋다ㅋ

■ SANS Computer Forensics Cheet Sheet
어디서 보고 저장해둔지 몰라서 출처 링크가 힘든데, 당연히 sans Institute 어딘가에서 봤다고
생각하고 있다-_-; 하나 출력해서 가지고 있음 굉장히 좋은듯!! 잘 안외워 지는 내용들이 정리가
잘되어 들어있다. Hand out이란 파일명으로 올라왔던것 같은데, 최종 수정날짜가 올 8월 14일
최근판이니깐 더 좋은거 같다, 맘에 든다.호호호


이것저것 뉴스가 많네..@_@ 포렌식 분야가 참으로 활발 해졌다는걸 다시 한번 느끼게 되는군 음..

단신이라고 하기엔 좀 장신의 글이 있지만-_-;; 밀렸던 이슈들을 다 소화하려면,
역시 이 방법이 최고인듯해서-_-ㅋ

■ Forensic Time Dilatation

ATM 기기의 로그 분석의 경험을 쓰고 있는데, 메모리 제한으로 인하여 ATM 기기의
정확도에 한계가 있는 만큼 분석 보고서 작성시 ± X를 해줘야 한다는 글이다. 게다가
자료형의 반올림까지 고민하여 그 오차 범위를 특정을 하는게 옳바른 분석이라는 글..
참 꼼꼼하다...

■ Ethics in Computer Forensics
   No obligation higher than the truth

디지털 포렌식 업무의 동료를 생각할때 가장 중요한것은 그사람의 능력이 아닌
도덕성이다. 워낙 민감한 사안들을 만날때가 많으므로 윤리 의식을 제일 먼저 봐야
할 것 같다. 우리나라는 동방예의지국이니깐 별 상관없겠지?-_-;;;ㅋ 이젠 아닌가...
아무튼 다른 직책들 보단 더 많은 도덕성을 요구한다.외국에선 벌써 이 문제에 대해
고민하고 있다는게 부럽다.

■ What they don't teach you in computer forensics school

포렌식 교육기관에서 가르쳐야 할 것들에 대해 참고가 될 만한 글
이런게 거꾸로 무엇을 공부해야 할지를 알려주고 있다.(번역은 귀찮아서 패스-_-)

• Properly handle evidence including all of the forms, policies and proceduresthey need to keep records.
• Whatthey need to have in their forensics lab for handling and processingdigital evidence and where to get it. Not hardware or software, butlittle things like evidence bags, etc.
• How to properly set up acase and manage it from start to finish including best practices forthe actual analysis of the case, including documentation.
• How to write and present standardized reports.
• What to put in a report and how to format it properly.
• How to assist attorneys and clients through the preservation and discovery process.
• How to analyze the work of an opposing expert.
• How to prepare for court testimony.
• How to prepare a CV or resume for qualifying as an expert.
• How to testify in court.
• Setting up and managing case files and documentation.
• How to determine how much to charge for their work.
• Dealing with retained and indigent cases.
• Ethical responsibilities of digital forensics experts.
• How to deal with cases involving contraband, such as child porn.

■ New Registry Analysis Tools

윈도우 정보의 보물창고 레지스트리 분석 툴 몇개, 펄스크립트로 짜여진 것들인데 요샌 자꾸
파이썬으로 된건 없나 찾게 된다-_- 충분히 호환되잖니; 그냥 두가지 버젼으로 만들어주면 좋겠는데..

■ PTK 관련 - PTK structure and components  /  PTK installation, configuration and updating

PTK 관련하여 구조 소개와 설치 방법 등 안내...
PTK 1.0이 릴되는 날을 일정 등록까지 해놓고 기다려 놓고 결국 포스팅을 못했다. ㅠ_ㅠ
여유를 가졌어야 했는데...안타깝다. 흙 내가 제일 먼저 올리고 싶었는데..
PTK 구조를 소개하는 페이지에서 Live System Support란 말이 있는데 이게 과연 어떤걸 지원한다는
건지...어서 날잡아서 좀 봐야겠다-_-

■ pdgmail: new tool for gmail memory forensics

디스크에 쓰기를 안하는 Gmail 분석...메모리로부터 내용을 추출하여 보여 주며, 이에 사용되는
도구와 방법에 대해 설명하고 있다. 이런걸 버리고 컴터를 끄고 이미징을 한다는건 정말 멍청한거다.
브라우저가 사용 하고 있는 메모리 영역에서 추출하는듯,(요건 파이썬으로 ㅋㅋ)

■ Using a Database as a Forensics Tool – Part 1 ,Part 2

가장 최근에 느꼈던 포렌식 업무에서 DB를 활용해야만 하는 이유에 대하여...
Part 1은 왜 DB가 포렌식에 필요한지에 대하여 나와 있고, Part 2는 비교적 UI가 친숙한 MS의
Access로 Data를 Import하는 방법에 대하여 간략히 설명하고 있다.
포렌식이라 함이 DB를 떼어놓고 생각하긴 또 힘든 것 같다. 서울에서 김서방 찾을때, 한명씩
물어볼순 없으니깐...김서방의 Attribute를 넣고 Output을 받아 두어명만 물어서 정확히 찾아내야
한다. 성능 좋고 유연한 DB는 꼭 있어야 한다는 판단이다. 물론 똑똑한 DBA 역시 한명 필요할듯?
최근엔 output이 늦게 나오는건 왠지 내가 멍청한 쿼리를 날려서 그런것 같은 기분을 지울수가
없었다. 이글을 보니 괜히 MySQL로 설치 했나 싶다. Access로 하는게 더 간단했을까?-_-;;

■ Safari Browser Forensics

맥용 브라우저, 윈도우용도 있다던대...특히! 아이팟터치/아이폰에도 들어가 있다. 그러한 기기들
안의 브라우저 포렌식은 굉장한 도움이 될것이기에 이러한 것도 꼬박꼬박 알아둬야 한다고
생각한다.

■ Who’s peeking at your private stuff?

글을 보며 대끔 진관희 스캔들 사건이 떠올랐다. 연예계(특히 해외 연예계)에 무관심한 나로서는
좀 듣보잡이였던 진관희와 컴퓨터 A/S 기사가 유출시킨 과정에 대해 상상하곤 했었는데, 아무튼
위의 링크대로 요새는 참 위험한 세상같다. 내 PC 고치는 것도 맘 놓고 못 맡기니...
자동차 수리는 맘놓고 맡겨도 컴퓨터 수리는 그러지 말자...ㅋ

■ RFID에 관한 취약성 및 보안

개인적으로 RFID는 매우 간단한데에만 사용했음 좋겠다. 뭘 거기다가 금융정보나 개인정보를
넣으려고 하시는지 원-_-;; 그냥 마트에서나 쓰자고...과자 가격이 보호될 필요는 없지만,
내 지갑은 보호를 받아야하자나.. 블로그 주인장님께서 잘 정리해 두셨다.
어디 있는 인간들 쓰잘데기 없고 위험한 짓거리 하기 전에 검색 하는 습관 좀 있었으면 좋겠다.

■ libpff (alpha) released for open source PST and OST forensics

PST와 OST파일에서 메일을 뽑아내고 추출하고, 삭제된 메일은 복구하고 뭐 그런 용도로 쓸
오픈소스 프로젝트 아직 알파 단계이면 좀 불안하겠지만, 그래도 굉장히 쿨하지 않나?!!
멋지다.만드는것도 멋지지만, 그걸 또 요로케 공개해주는게 멋있는듯..
활용도가 매우 많을것 같은 느낌이 팍팍 든다.