카테고리
KAPE (Kroll Artifact Parser And Extractor) - (2) Target의 이해 및 실행
※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. 지난 포스팅에 이어 KAPE의 Target에 대해 알아보도록 하겠습니다. 3. KAPE 의 Target gKAPE의 Target UI를 위에서부터 하나씩 내려가면서 살펴보도록 하겠습니다. Use Target options : 타겟 설정을 활성화합니다. Target options Target Source : 타겟이 될 대상 볼륨을 선택합니다. (이미지 파일을 대상으로 하기 위해서는 Arsenal Imgae Mounter 도구처럼 이미지를 볼륨으로 마운트할 수 있는 도구를 사용하여 마운트 후 볼륨을 지정해주어야 합니다.) Target Destination : 추출된 아티팩트가 저장될 경로를 선택합니다. Flush..
KAPE (Kroll Artifact Parser And Extractor) - (1) KAPE의 이해 및 설치
※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. Eric Zimmerman이 개발한 디지털 포렌식 도구 중 하나인 KAPE가 뭔지, 어떻게 활용할 수 있는지에 대해 포스팅해보도록 하겠습니다. 1. KAPE (Kroll Artifact Parser And Extractor) KAPE는 이름에서 알 수 있듯이 요약하면 아티팩트를 크롤하고 뽑아낼 수 있는 도구로 보면 되겠습니다. 공식적인 문서에 의하면 주로 장치 또는 저장 위치를 대상으로 하고 가장 포렌식적으로 관련된 아티팩트를 찾고 몇 분 안에 구문 분석하는 분류 프로그램이라고 합니다. KAPE를 활용한다면 빠른 속도로 수사관이 사건에 필요한 시스템을 찾고 우선 순위를 지정할 수 있으며, 이미징 처리를 하기 ..
Falcon NEO 디스크 이미징 수행 과정
Falcon NEO를 이용한 디스크 이미징 디지털 포렌식 이미징 장비인 Falcon NEO 로 디스크 이미징을 수행하는 과정에 대해 알아보도록 하겠습니다. Falcon NEO 제품은 위와 같이 생겼습니다. 준비물로는 이미징을 수행 할 매체, 사본이 저장 될 매체(용량은 이미징 대상 매체보다 커야 함), 매체에 맞는 케이블이 필요하겠습니다. (USB, SATA, SAS 등) 우선 이미징 장비에 전원 케이블을 연결해서 부팅을 해줍니다. 부팅을 하면 위 사진과 같은 화면이 나옵니다. 제공하는 기능으로는 이미징, 데이터 소거, 쓰기 방지, 해시 검증 등이 있습니다. Source 연결 장비의 좌측을 보면 Source Write Protected라고 해서 이미징 대상 매체를 연결과 동시에 쓰기 방지가 적용되도록 되..
X-Ways Forensics - (1) 프로그램 소개
※ 본 포스팅은 PLAINBIT의 X-Ways Forensics 강의를 듣고 요약, 작성한 글입니다. 안녕하세요. 디지털 포렌식 프로그램으로 널리 알려진 X-Ways 사의 X-Ways Forensics 프로그램의 사용법 관련해서 포스팅을 쭉 해보려고 합니다. 이번 첫 포스팅에서는 X-Ways Forensics 프로그램에 대한 간단한 소개를 위주로 작성해보겠습니다. X-Ways Forensics는 독일의 X-Ways 사에서 개발한 디지털 포렌식 소프트웨어 입니다. 그 외 X-Ways 사의 널리 알려진 프로그램에는 WinHex가 있습니다. X-Ways.net에서 X-Ways Forensics 제품을 비롯하여 WinHex, X-Ways Inverstigator, X-Ways Imager, F-Response의..
volatility2,3 cheatsheet
https://blog.onfvp.com/post/volatility-cheatsheet/ Volatility 3 CheatSheet Comparing commands from Vol2 > Vol3 blog.onfvp.com https://book.hacktricks.xyz/forensics/basic-forensic-methodology/memory-dump-analysis/volatility-examples Volatility - CheatSheet - HackTricks “scan” plugins, on the other hand, will take an approach similar to carving the memory for things that might make sense when dere..
GPT(GUID Partition Table) - (2) 손상된 GPT 백업본 기반 복구
지난 번에 포스팅한 GPT 구조를 바탕으로 GPT가 손상되었을 때 백업본을 기반으로 해서 복구하는 방법에 대해 포스팅해보겠습니다. GPT 백업본 기반 복구 정상적인 이미지라면 0번 섹터에 Protective MBR, 1번 섹터에 GPT Header, 2번 섹터부터 GPT Partition table Entry가 위치해야 되지만 위의 손상된 이미지에는 데이터가 0으로 덮여있는 것을 확인할 수 있습니다. 이와 같은 경우 FTK Imager에서 이미지 마운트를 시도할 경우 파티션이 인식되지 않습니다. 이런 상황에서 FTK Imager에서 마운트할 수 있도록 백업본을 기반으로 MBR과 GPT를 복원하는 방법을 알아보겠습니다. GPT 백업본 기반 복구 - (1) 체크리스트 GPT 구조는 위와 같이 GPT Head..
GPT(GUID Partition Table) - (1) 개요 및 구조
앞서 MBR을 다뤘을 때, MBR의 한계를 극복하기 위해 생긴 것이 GPT라고 했었습니다. 이번에는 GPT가 어떤 것인지, 어떻게 구성되어있는지에 대해 분석해보겠습니다. GPT(GUID Partition Table) GPT는 MBR의 파티션 테이블 용량 제약을 개선하기 위해서 생겼습니다. MBR은 32bit 주소체계를 사용하고 있기 때문에 2TB의 용량 제한을 가지고 있습니다. (2^32 * 512) GPT는 64bit 주소체계를 사용하기 때문에 이론적으로 8ZB의 용량까지 사용이 가능하나 18EB 정도로 제한을 두고 있다고 합니다. (2^64 * 512) 그래서 64bit 운영체제를 사용하고 있다면 MBR보다는 GPT를 사용하고 있을 가능성이 크겠습니다. MBR에서는 주 파티션을 4개까지 생성이 가능하..