처음 만나는 클라우드 보안

주어진 패킷을 통해 아래 물음에 답하시오. Q1. MAC주소는? => Address: Apple_fe:07:c4 (00:25:00:fe:07:c4) Q2. HTTP요청에 어떤 User-Agent문자열을 사용했는가? => User-Agent: AppleTV/2.4\r\n Q3.검색어? => hacker, sneak => Iknowyouare watchingme x-apple-lok-path: v0_wa_incrementalSearch?media=movie&q=h-143441-1,3-Ak Q4. 처음 클릭한 영화 제목? => tcp.stream eq 2 : hackers Q5. 영화 가격은? => $4.99 price-display$4.99 Q1. Mr.X 스캐너의 IP주소는 무엇인가? => 10.42.42..

MS 문서 분석 : MS문서(word, excel, ppt..)와 압축파일(. zip)의 파일 시그니처는 PK로 동일 : MS문서의 확장자를. zip 파일로 변경 => 압축 해제후 'docProps' > 'core.xml' 확인 사진 파일 분석 EXIF데이터 파싱 : 스마트폰(애플, 삼성) 촬영 사진의 메타데이터 (공간, 시간)는 모두 *EXIF로 저장된다. : 분석툴을 활용하여 EXIF 파일을 분석하여 사진과 관련된 정보를 수집할 수 있다. * EXIF(exchangeable image file format) 란? : 디지털 카메라의 이미지 파일 안에 저장되어 있는 촬영날짜, 위치, 카메라 제조사 등의 정보를 저장하는 파일 형식을 말한다. - Autopsy 활용 참고) GPS 위경도 값은 30~60m의..

디지털 포렌식 기법 이번 포스팅에선 디지털 포렌식을 위한 유용한 도구인 FRK Imager와 Autopsy의 실습을 진행해 본다. 쓰기 방지 장치 설정 포렌식 수행에 앞서 증거 훼손을 방지하기 위해 '쓰기 방지'를 설정한다. 실행 > regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control > StorageDevicePolicies 디렉터리 생성 'WriteProtect'생성 > 우클릭 '수정' > 값데이터를 1로 수정 USB 드라이브 꽂고 read/write 기능을 테스트 > USB 내부에 새폴더 생성 불가 (Read only) FTK Imager 포렌식 이미지 생성 이미징 대상 저장매체의 Unallocated 용량까지 모두 복제한다. - 파일 형식 R..

디지털 포렌식의 기초 모든 접촉은 흔적을 남긴다. -Dr. Edmond Locard 사이버 수사 - 사이버 범죄의 범위 정보통신망 침해형 범죄 - 해킹, 악성코드 유포, 랜섬웨어 등을 이용한 직접 공격 정보통신망 이용범죄 - 인터넷 사기, 게임 아이템 사기 등과 같은 전통적 범죄의 정보통신망 이용 불법 컨텐츠 범죄 - 인터넷도박, 음란사이트 등 불법 서비스 제공 디지털 포렌식의 절차 '적법한 절차'에 따른 압수 + 분석 1단계 - 사전준비 (도구 테스트, 저장매체, 준비) 2단계 - 증거수집 3단계 - 보관 및 이송 4단계 - 조사 분석 5단계 - 정밀 검토 6단계 - 보고서 작성 파일 시스템 - NTFS(Nano Techonology File System) : 윈도우NT 운영체계가 파일을 저장하고 검색..

이번 포스팅에선 와이어샤크를 이용하여 네트워크 포렌식 관련 문제를 풀이해 본다. 문제. 주어진 패킷에 대하여 다음을 구하시오. 1. Email계정을 구하시오 => "Ann Dercover" // Email계정 로그인 시 Base64 사용 2. 계정의 패스워드를 구하시오 => NTU4cjAwbHo=디코딩=> 558 r00 lz // Bluebell decoder로 base64 해독 3. 상대방 Email계정을 구하시오 => 4. 이메일을 통해 요청된 물건은 무엇인가? =? fake passport and a bathing suit 5. 첨부파일 이름은 => "secretrendezvous.docx" // mail.eml로 저장 6. 첨부파일 속 접선장소는? // 이메일(.eml)형식 열어서 첨부 확인 접근..

이번 포스팅에선 윈도우7 환경에서의 레지스트리 포렌식과 프리패치 포렌식 방법에 대해 알아본다. 레지스트리 포렌식 레지스트리(Registry)란? : 레지스트리란 윈도우계열 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스를 말한다. 프로세스의 종류, 기억장치의 용량, 응용 소프웨어에서 취급하는 파일 타입과 매개변수가 기록되어 있으며, 저장 매체의 사용 흔적, 최근 접속 문서, 응용프로그램 실행 등의 사용 흔적이 저장된다. 레지스트리 하이브(Registry hive)란? : 레지스트리의 정보가 저장되어 있는 바이너리 형식의 파일을 말한다. 레지스트리는 휘발성 메모리이기 때문에 포렌식에 필요한 정보는 하이브 파일을 찾아 확인해야 하며 일반 계정의 사용자는 접근이 불가하다. - 하이브 파일 위치 C:..

디지털 포렌식(Digital Forensic) 컴퓨터와 같은 디지털 저장매체의 정보 중 법정 증거로 가치 있는 '디지털 증거'를 수집하는 업무를 말한다. 포럼(Forum)이라는 라틴어처럼, 공개적인 자리에서 누구나 인정할 수 있는 객관성 갖는 것이 주목적이다. 1. 디지털 증거 수집 모니터상 프로그램 사진자료 확보, Off-storage확보, 연관 프로세스 확인 등 1) 매체의 전원이 켜져 있는 경우 - DOS, Window 9x, Window XP, 2000, pro, Mac => 전원 플러그 강제 분리 (노트북 배터리 탈거) - Windows server (2000, 2003, 2008), Linux, Unix 등 => 정상적 종료작업 수행 (Shutdown) 2) 매체의 전원이 꺼져 있는 경우 - ..