FORENSIC-PROOOF

저장매체 펌웨어 보안 (Storage Firmware Security)

proneer — Sun, 19 Feb 2012 23:20:24 +0000

이번에는 저장매체 펌웨어를 한번 살펴보자. 이전에 살펴본 메인보드/주변장치 펌웨어와는 저장방식이나 관리면에서 조금 다르기 때문에 별도로 살펴보려고 한다. 원래 저장매체 펌웨어는 PCB 기판의 플래시 메모리나 ROM에 저장되는 줄 알았다. 하지만 최근 포렌식인사이트 세미나 중 pkson 님이 Forensic 4Cast를 듣던 중 제보해주셨다. 관련 내용을 찾아보니 ADFSL(Association of Digital Forensics, Security and Law) 컨퍼런스 [...]

메인보드/주변장치 펌웨어 보안 (Mainboard/Peripheral Firmware Security)

proneer — Sun, 19 Feb 2012 23:20:07 +0000

일반적으로 펌웨어(firmware)라고 하면 메인보드의 롬 바이오스(ROM BIOS)를 떠올릴 것이다. 펌웨어의 사전적 의미는 하드웨어 장치에 포함된 소프트웨어를 뜻한다. 대부분의 하드웨어 장비에는 하드웨어를 구동시키고 제어하기 위한 별도의 소프트웨어가 내장되는데 이 내장 소프트웨어를 펌웨어라고 한다. 메인보드/주변장치에 들어가는 펌웨어에 대해 간략히 알아보고 보안적인 위협에 대해 고민해보려고 한다. 다음 내용은 ISIP(International Symposium on Information Processing) 2009에 발표된 Advance and Development [...]

디지털포렌식 행사 (Digital Forensics Events)

proneer — Mon, 06 Feb 2012 23:36:08 +0000

IT 분야에 들어서면서 가장 큰 재미는 한 순간도 안주할 수 없다는 것이다. 현재 알고 있는 지식이 1년 아니 6개월만 지나도 큰 가치가 없는 지식이 되어 버리기 때문이다. 어떻게 보면 재미일 수도 있고, 다르게 보면 고난일 수도 있다. 하지만, 경험이라는 것은 항상 우리를 저버리지 않기 때문에 한 숨을 놓게 된다.

불과 10년전만 해도 많은 정보를 가지고 [...]

슬랙스킷 (Slackskit)

proneer — Thu, 26 Jan 2012 23:56:45 +0000

슬랙스킷(Slackskit)은 슬랙을 이용하는 악성코드를 통칭하여 부르는 말이다. 하지만, 아직까지 공식적으로 불려진 적이 없다. 최근에 커피를 마시다가 hojinpk의 조언과 함께 만든 이름이기 때문이다. 슬랙스킷은 새로운 악성코드는 아니다. 이미 슬랙을 이용하는 악성코드는 많이 나왔지만, 악성코드 명칭은 은닉 장소보다는 대부분 행위에 기반하여 붙이는 경향이 있다. 루트킷(Rootkit), 부트킷(Bootkit) 처럼 말이다.

슬랙 공간의 활용은 이미 포렌식 분야에서는 오래된 주제이다. 하지만, 악성코드의 [...]

DFRWS 2012 포렌식 챌린지

proneer — Mon, 16 Jan 2012 05:42:18 +0000

DFRWS에서 2012년 챌린지가 나왔다. 보통 3월 이후에 나오는 것이 일반적인데 올해는 많이 일찍 나왔다. DFRWS가 디지털포렌식 연구계에서 가장 큰 행사인것은 사실이지만, 알려진 것에 비해 챌린지에 참여하는 사람이 그렇게 많은 것은 아니다. 하지만 매년 신선한 주제로 챌린지가 열리기 때문에 디지털포렌식을 연구하는데 많은 도움이 되고 있다. 챌린지의 성격만으로 보면 DC3는 왠지 연구에 관심이 있기 보다는 잿밥에 관심이 [...]

윈도우 7 시스템 예약 파티션 (System Reserved Partition)

proneer — Fri, 13 Jan 2012 11:12:10 +0000

이번 포스팅에서는 윈도우 7에서 새롭게 추가된 예약 파티션 기능에 대해 살펴보려고 한다. 예약 파티션은 윈도우 7이 나오면서 새롭게 생겨난 기능이다. 윈도우 7을 설치하고 디스크 관리를 이용해 시스템 드라이브를 확인해보면 시스템 볼륨인 C:/ 볼륨 이전에 100MB의 파티션이 잡혀 있는 것을 확인할 수 있다. 이 100MB의 파티션이 예약 파티션이다.

예약 파티션은 항상 생기는 것일까?
모든 제품군에 [...]

활성데이터 수집 시 윈도우 Vista/7에서 고려할 점 (A point to be considered in live forensics)

proneer — Thu, 05 Jan 2012 00:22:26 +0000

윈도우 Vista/7에서 시스템의 주요 폴더에 있는 시스템 명령 파일을 다른 위치로 옮겨본 경험이 있는가? 그 때 정상적으로 실행이 되지 않는 경우는 없었던가?

최근에 라이브 포렌식 스크립트를 새롭게 작성하던 중 문제가 하나 발생했다. 일반적으로 활성데이터 수집에 사용하는 명령은 수집 대상 시스템의 명령을 사용하지 않고 별도로 준비해간다. 수집 대상 시스템의 명령은 공격자나 혹은 다른 이유로 손상될 가능성이 있기 [...]

프린트 스풀러 포렌식 분석 (Print Spooler Forensics)

proneer — Tue, 03 Jan 2012 00:14:01 +0000

프린트 스풀러에 대한 분석도 이미 오래된 이야기이다. 하지만 나중에 참조할 목적으로 정리를 한번 해보자. 분석을 하다보면 내가 쓴 글이지만 까먹어서 블로그를 다시 참조한다. 블로그를 운영하는 이유 중의 하나도 힘들게 얻은 지식이지만 지나고 나면 까먹어 버리기 때문에 이를 정리하기 위한 목적이 크다. 보통 자기가 직접 작성한 글은 쉽게 이해가 될 것이다. 나 또한 내가 작성한 글은 [...]

시스템 복원지점 포렌식 분석 (System Restore Point Forensics)

proneer — Tue, 27 Dec 2011 08:21:00 +0000

시스템 복원지점(SRP, System Restore Point)은 포렌식 분야에서 이미 오래된 주제이다. 윈도우 ME 버전에서 처음 소개된 이후에 XP까지 사용되었다. 서버 버전인 2000과 Server 2003은 복원지점을 지원하지 않는다. 윈도우 비스타 이후로 넘어오면서 현재는 복원지점 대신 볼륨 섀도우 복사본(VSS, Volume Shadow Copy)을 사용하고 있다.(비스타에서는 복원지점과 볼륨 섀도우 복사본을 함께 사용) 하지만, 아직까지도 윈도우 XP 시스템을 사용하고 있는 사용자들이 많이 [...]

윈도우 설치 시간과 타임라인(Windows Install Date & Timeline)

proneer — Fri, 25 Nov 2011 17:17:57 +0000

윈도우 설치 시간과 타임라인에 대해 한번 이야기해보자. 윈도우의 다양한 버전이 존재하지만 대표적으로 XP와 7만을 대상으로 설명하려고 한다.

디지털포렌식 분석에서 타임라인 분석을 빼놓을 수 없다. 악성코드와 관련된 사건이라면 악성코드를 인지한 날짜로부터 다양한 시스템 아티팩스(Artifact)의 시간 정보를 분석하여 악성코드의 생성 시간이나 유입 경로, 그리고 실행된 이후의 행위를 파악할 수 있다.

정보 유출이나 정보 은닉을 목적으로 한 경우 [...]