DFIR/기타 개념

    Atola Taskforce E01 이미지 생성 과정
    DFIR/기타 개념

    Atola Taskforce E01 이미지 생성 과정

    How to create E01 image with Atola Taskforce 디지털포렌식 하드웨어 장비인 Atola Taskforce를 사용하여 하드디스크에 E01 이미지를 생성하는 방법에 대해 다뤄보겠습니다. (Disk to File) 실습에 사용될 하드웨어 장비입니다. 장비의 좌측을 보면 디스크를 연결할 수 있는 포트들이 있습니다. SAS 포트 6개, SATA 포트 6개가 있으며 각 포트 별로 우측의 빨간색 스위치를 통해 Source 혹은 Target 으로 변경을 할 수 있습니다. SOURCE 초록색 전구?에 불이 들어오면 해당 포트가 Source로 사용되고 있다는 의미이며 불이 꺼져 있으면 Target으로 사용되고 있다는 의미입니다. 저는 위와 같이 SATA1번을 Source 로, SATA2번을..

    프로그램 실행 관련 아티팩트 모음
    DFIR/기타 개념

    프로그램 실행 관련 아티팩트 모음

    지속적으로 추가하겠습니다. Registry MuiCache HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache AppCompatCache HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache AppCompatFlags HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Ass..

    DFIR/기타 개념

    VMware Drag and Drop File 경로

    VMware에서 Drag and Drop을 통해 파일을 복사하는 경우 아래 경로에 파일의 데이터를 저장한다. C:\Users\{User}\AppData\Local\Temp\vmware-{User}\VMwareDnD

    Falcon NEO 디스크 이미징 수행 과정
    DFIR/기타 개념

    Falcon NEO 디스크 이미징 수행 과정

    Falcon NEO를 이용한 디스크 이미징 디지털 포렌식 이미징 장비인 Falcon NEO 로 디스크 이미징을 수행하는 과정에 대해 알아보도록 하겠습니다. Falcon NEO 제품은 위와 같이 생겼습니다. 준비물로는 이미징을 수행 할 매체, 사본이 저장 될 매체(용량은 이미징 대상 매체보다 커야 함), 매체에 맞는 케이블이 필요하겠습니다. (USB, SATA, SAS 등) 우선 이미징 장비에 전원 케이블을 연결해서 부팅을 해줍니다. 부팅을 하면 위 사진과 같은 화면이 나옵니다. 제공하는 기능으로는 이미징, 데이터 소거, 쓰기 방지, 해시 검증 등이 있습니다. Source 연결 장비의 좌측을 보면 Source Write Protected라고 해서 이미징 대상 매체를 연결과 동시에 쓰기 방지가 적용되도록 되..

    디지털 포렌식 맛보기#2
    DFIR/기타 개념

    디지털 포렌식 맛보기#2

    빅 엔디안과 리틀 엔디안(Big endian & Little endian) 데이터는 저장 장치에 저장이 될 때 "빅 엔디안"과 "리틀 엔디안" 두 가지 방법을 사용하게 됩니다. 빅 엔디안 방식은 그림 1과 같이 데이터를 읽을 때 평소 우리가 읽는 방식대로 왼쪽에서 오른쪽으로 읽는 방식입니다. 리틀 엔디안 방식은 그림 2와 같이 우리가 읽는 반대 방향인 오른쪽에서 왼쪽으로 읽는 방식입니다. 리틀 엔디안은 컴퓨터 연산이 단순해지고 빨라진다는 장점이 있습니다. 모든 x86_64 프로세서(Intel/AMD)는 리틀 엔디안을 사용하는 반면 IP/TCP는 빅 엔디안을 사용합니다. 분석하는 데이터가 어떤 엔디안 방식을 사용하는지 파악하는 것이 중요합니다. 시간 정보 디지털 포렌식의 관점에서 시간 정보는 사건이 발생한..

    디지털 포렌식 맛보기#1
    DFIR/기타 개념

    디지털 포렌식 맛보기#1

    뉴스에서 디지털 포렌식이라는 용어를 한 번 쯤은 접해보신 적이 있으실 겁니다. 박원순 전 시장 휴대폰 포렌식, 의대생 한강 사건 휴대폰 포렌식, 연예인 정준영 황금폰 포렌식, 최순실 태블릿 pc 포렌식 등 굵직한 사건들마다 이 디지털 포렌식이라는 것이 따라오는 사례가 많이 있습니다. 이번 포스팅에서는 디지털 포렌식이 어떤 것인지 간략하게 살펴보도록 하겠습니다. 어느날 아침 주택가 인근 좁은 도로에서 살해된 여성의 시체가 발견되었습니다. 유력한 용의자를 잡았지만 CCTV 기록도, 목격자도 없어 범행시간 파악조차 어려운 상황입니다. 이 사건에서 범인을 검거할 수 있었던 결정적인 단서는 여성이 소지하고 있던 이것 입니다. 이것은 무엇일까요? 다음 포스팅에 다시 살펴보겠습니다. 디지털 포렌식 용어의 유래 먼저 ..

    클러스터(Cluster)
    DFIR/기타 개념

    클러스터(Cluster)

    클러스터 하드디스크의 읽기, 쓰기 작업은 섹터 단위로 이루어집니다. 하지만 섹터 단위로 입출력을 처리할 경우 용량이 큰 파일에 대하여 많은 시간이 요구됩니다. 보통 1섹터의 크기가 512 byte이므로 5,000 byte 크기의 데이터를 읽으려면 총 10번의 입출력(512 * 100 >= 5000)을 수행해야 하는 것입니다. 때문에 디스크의 입출력 처리 속도 효율을 향상시키기 위해 여러 개의 섹터를 묶어서 한 번에 처리하게 되고 이것을 클러스터 개념입니다. 예를 들어 10,000 byte 크기의 데이터를 읽을 때, 섹터 단위로 읽게 되면 20번(512 * 20 > 10,000) 읽어야 하지만, 클러스터 단위로 읽게 되면 3번(4,096 * 3 > 10,000)만 읽으면 되는 것입니다. 요약하자면 디스크의..

티스토리툴바