리눅스 메모리 포렌식 개요 (An Introduction to Linux Memory Forensics)

proneer — Sun, 13 May 2012 15:02:16 +0000

윈도우에 비해 리눅스의 휘발성 메모리 분석 연구는 활발하지 않다. 윈도우가 수시로 업데이트를 하기는 하지만 구조를 변경시킬만한 주요 업데이트는 빈번하지 않기 때문에 윈도우 연구가 더욱 매력적일 수 밖에 없다. 이에 비해 리눅스는 배포판마다 가지는 특징이 다르고 주요 업데이트도 비교적 빈번하기 때문에 연구의 어려움을 가지고 있다.

하지만 이런 이유보다는 연구의 동기 부여 관점에서 윈도우 운영체제의 점유율이 훨씬 [...]

윈도우 안정성 모니터 (Reliability Monitor)

proneer — Mon, 23 Apr 2012 16:25:05 +0000

윈도우가 비스타로 넘어오면서 생긴 많은 기능 중 하나가 내부 모니터링 기능이다. 대표적인 모니터로는 리소스 모니터(Resource Monitor, Resmon.exe)와 성능 모니터(Performance Monitor, Perfmon.exe)가 있다. 리소스 모니터나 성능 모니터는 프로그램을 실행해보면 한 눈에 기능과 목적을 알 수 있다.

그 밖에 시스템 안정성에 영향을 주는 이벤트를 관리하고 안정성을 향상시킬 수 있는 방법을 안내하는 안정성 모니터(Reliability Monitor)도 있다. 안정성 모니터는 [...]

응용프로그램 호환성 캐시 (Application Compatibility Cache)

proneer — Mon, 23 Apr 2012 06:38:38 +0000

지난 주 맨디언트에서 새로운 무료 도구를 공개했다. ShimCacheParser로 윈도우 운영체제의 응용프로그램 호환성 데이터베이스에서 사용하는 심(Shim) 캐시 데이터를 파싱해주는 도구이다. 포렌식 조사에서 해당 캐시 데이터를 활용했던 경험을 바탕으로 캐시 데이터 분석에 관한 아티클도 공개했다. 심 캐시? 어떤 내용인지 한번 살펴보자. 우선 캐시를 살펴보기 전에 응용프로그램 호환성 데이터베이스에 대해 살펴볼 필요가 있다.

[...]

라이브 포렌식 (Live Forensics)

proneer — Fri, 20 Apr 2012 04:43:42 +0000

흔히 사건이 발생하면 현장 출동을 하게 된다. 이때 현장에서 이루어지는 초기 활동은 매우 중요하다. 전통적인 법의학에서는 폴리스 라인을 이용해 사건 현장의 지문, 혈흔, 발자국 등 아날로그 증거가 외부의 영향으로 훼손되지 않도록 보존한다. 로카르드 교환 법칙(Locard’s exchange principle)에 따라 현장 보존을 얼마나 잘 하느냐에 따라 사건 해결이 판가름 날 수도 있다.

디지털포렌식 용어와 절차 (Digital Forensics Terminology and Procedures)

proneer — Thu, 19 Apr 2012 12:13:18 +0000

본 카테고리(Articles)는 데일리시큐에 연재하고 있는 기사를 올릴 예정이다. 포렌식 분야의 공부를 시작하는 사람들에게 도움이 되기 바란다.

최근에 포렌식이라는 용어가 국내 보안을 비롯해 다양한 분야에서 널리 사용되고 있다. 마찬가지로 융합이 보안 분야의 새로운 패러다임이 되면서 포렌식도 전통적인 분야를 넘어 다양한 보안 분야와 결합되어 신조어가 만들어지고 새로운 서비스가 탄생하고 있다. 앞으로 포렌식에 대한 정의와 절차를 [...]

스피어 피싱 메일 (Practical Spear-Phishing Email)

proneer — Thu, 12 Apr 2012 01:06:43 +0000

몇 일전 G메일로 스피어 피싱 메일을 하나 받았다. 메일 내용은 다음과 같다.

제목 : 박일한 이력서 보낸 사람 : 조성규 (skc4890@naver.com) 받는 사람 : kiwooksohn (kiwooksohn@gmail.com) 첨부 파일 : 박일한이력서.doc

아무런 내용이 없이 “박일한이력서.doc”라는 첨부 파일만 첨부된 상태였다. “박일한”이라는 이름이 낯설지는 않았다. 어디선가 들어본 것 같은데 기억은 나지 않았다. [...]

인케이스 v7 프로세서 동글이

proneer — Fri, 30 Mar 2012 03:14:36 +0000

몇 일전 가이던스에서 인케이스 V7 프로세서(EnCase v7 Processor) 무료 라이센스를 신청하라고 공지를 했다.
http://www.guidancesoftware.com/encaseprocessor.aspx

무료라는 말에 얼른 신청을 했더니 4일만에 UPS로 배송이 되었다.

해당 동글키는 인케이스 v7에서 강화된 증거 처리(Process Evidence)의 기능만 사용할 수 있다. v6에서는 사용할 수 없다. 인케이스 v7을 실행하면 다음과 같이 “EnCase Processor”라는 [...]

SSD 포렌식:데이터 복구 (SSD Forensics:Data Recovery)

proneer — Mon, 12 Mar 2012 16:22:45 +0000

최근 시스템 드라이브로 사용하기 위해 SSD를 구입하는 사람들이 부쩍 늘고 있다. 새로 맞추는 컴퓨터 사양에 SSD는 거의 필수 항목이 되어 가고 있다. 이런 관심과 더불어 SSD 포렌식과 관련한 질문을 많이 받는다. 포렌식 관점에서 SSD를 대상으로 하는 많은 분석 주제가 있겠지만, 가장 많이 궁금한 내용이 데이터 복구와 관련된 내용일 것이다. 그래서 SSD의 데이터 복구에 관해 한번 [...]

저장매체 펌웨어 보안 (Storage Firmware Security)

proneer — Sun, 19 Feb 2012 23:20:24 +0000

이번에는 저장매체 펌웨어를 한번 살펴보자. 이전에 살펴본 메인보드/주변장치 펌웨어와는 저장방식이나 관리면에서 조금 다르기 때문에 별도로 살펴보려고 한다. 원래 저장매체 펌웨어는 PCB 기판의 플래시 메모리나 ROM에 저장되는 줄 알았다. 하지만 최근 포렌식인사이트 세미나 중 pkson 님이 Forensic 4Cast를 듣던 중 제보해주셨다. 관련 내용을 찾아보니 ADFSL(Association of Digital Forensics, Security and Law) 컨퍼런스 [...]

메인보드/주변장치 펌웨어 보안 (Mainboard/Peripheral Firmware Security)

proneer — Sun, 19 Feb 2012 23:20:07 +0000

일반적으로 펌웨어(firmware)라고 하면 메인보드의 롬 바이오스(ROM BIOS)를 떠올릴 것이다. 펌웨어의 사전적 의미는 하드웨어 장치에 포함된 소프트웨어를 뜻한다. 대부분의 하드웨어 장비에는 하드웨어를 구동시키고 제어하기 위한 별도의 소프트웨어가 내장되는데 이 내장 소프트웨어를 펌웨어라고 한다. 메인보드/주변장치에 들어가는 펌웨어에 대해 간략히 알아보고 보안적인 위협에 대해 고민해보려고 한다. 다음 내용은 ISIP(International Symposium on Information Processing) 2009에 발표된 Advance and Development [...]

FORENSIC-PROOOF