레지스트리 분석 1. 레지스트리란? 둔영체제에서 동작하는 환경설정 정보들을 저장하는 데이터베이스 HKEY_CLASSES_ROOT를 비롯하여 5개의 상위키(=루트키)를 가짐각 루트키 아래의 하위키부터 그 아래의 모든 하위키를 포함하는 트리구조를 하이브라고한다.폴더를 키라고 지칭 1.1 HKEY_CLASSES_ROOT확장자에 대한 매핑정보 1.2 HKEY_LOCAL_MACHINE시스템에 영향을 미치는 환경정보, 로그온 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일하게 적용된다.HKLM/Software/CLASSES : HKEY_CLASSES_ROOT의 키 값과 연동 1.3 HKEY_USERS현재 동작하는 모든 사용자긴건 일반사용자짧은건 시스템 사용자 1.4 HKEY_CURRENT_USER현재 사..
1. 윈도우즈 포렌식LIVE RESPONSE (실시간 대응) 1.1 실시간 대응의 중요성 - 실시간 시스템을 내리면 큰 금전적 손실이 발생- 전원을 내리고 이미징하더라도 많은 시간이 소요- 메모리에 상주된 데이터를 전원을 내리면 찾지 못한다.(범죄에 이용되는 프로그램은 메모리에만 존재할 수 있다. 임시파일의 경우도 사라질 수 있다.)- 클라우드 환경의 시스템 전체 이미징 불가(크기, 법적권한) 1.2 수집자료 - 기본정보OS Version, Update, Accounts, SP()기본정보를 수집하는 이유는 시스템 특징을 파악하면 수집할 범위와 시간이 줄어든다. - 시간컴퓨터의 시간과 현재 시간의 차이, 동기화하여야함 - 파일MAC TIME(Modify, Access, Create) - 여기서 Access..
1. FAT(File Allocation Table) USB, FLASH MEMORY에서 사용된다.FAT#1은 CLUSTER CHAIN을 저장한다.FAT#2는 FAT#1의 백업 - FAT 16주소를 표현할 때 2의 16승으로 한정된다. - FAT 32주소를 표현할 때 2의 32승으로 한정된다. - 16, 32의 차이16은 BOOT DIRECTORY의 위치가 고정되어있고32는 BOOT DIRECTORY의 위치가 DATA 영역의 랜덤하게 들어간다. 2. NTFS - 특징데이터 복구 기능 - 모든 작업을 트랜잭션 단위로 기록하고 시스템 장애로 인한 문제 발생시 복구암호화 - EFS(Encryption File System)압축 - ZIP 형식의 LZ77 변형 압축 기술 사용디스크 쿼터 - 디스크 사용량 제한A..
1. FLASH 메모리종류 NAND NOR 구조 셀이 직렬로 연결 셀이 병렬로 연결 특징 제조단가가 싸고 대용량 데이터 처리속도가 빠르고 안정성이 우수 이용 USB 핸드폰 1.1 FLASH 메모리의 특징One-way Programming - 블록에 데이터를 쓰면 일부를 삭제 수정할 수 없음, invalid를 통해 데이터를 삭제하는 것처럼 처리Wearing erase-write cycle - 소모성으로 1만회 또는 10만회 쓰기가 가능Spare Area - 데이터 영역 이외에도 metadata정보를 저장하고 있는 16byte의 영역이 존재. 직접 접근 불가Garbage Collection - Invalid Block이 모였을 때 그 블록들을 리셋 2. SSD NAND를 여러개로 모아 하드처럼 사용하드와 동..
1. 디지털 증거수집 및 분석규정 - 대검찰청예규 1.1 디지털포렌식 수사관의 임명1. 대검찰청에서 실시하는 교육을 이수한자2. 국내외 컴퓨터관련 교육과정을 이수, 디지털 포렌식 관련지식이 충분하다고 인정되는자(학력이 충분한 자 또는 경력자)3. 수사실무 3개월 이상 수행한 경력이 있는자 3 가지중 한가지에 속하면 디지털 포렌식 수사관이 될 수 있다. 1.2 과잉금지의 원칙수사에 필요한 최소한의 범위내에서 실시되어야하고, 적법적으로 실시되어야함1.3 저장매체의 압수, 수색, 검증영장의 범위내에서만 복제, 압수하여야한다. ★2. 포렌식 절차2.1 준비 사전조사, 조사 권환 획득 2.2 식별, 수집 - HDD같은 물리적 장치 영장제시 -> 현장통제 -> 현장분석 -> 시스템 통제모든 과정은 문서화 되어야한다..
1. 디지털 포렌식 절차모델수사준비 -> 증거물 획득 -> 이송/보관 -> 분석/조사 ->보고서 작성 ISO/IEC 27037SWGDE BEST Practices for Forensics경찰청, 디지털표준 가이드라인대검찰청예규, 디지털 증거 수집 및 분석 규정경찰청, 디지털 증거 수집 및 처리 규칙 가이드라인 - 지켜도 되고 안지켜도 되는 일규칙, 규정 - 반드시 지켜야하는 일 1.1 ISO/IEX 27037- 증거식별 , 수집, 획득, 보존에 관한 가이드라인 - 기본원칙관련성 : 사건과 관련이 있어야 한다.신뢰성 : 항상 분석할 때 같은 결과가 나와야한다.충분성 : 충분한 자료를 수집해야 한다. - 디지털 처리 요구사항감사성 : 수행과정을 모두 문서화 하여야 한다.반복성 : 동일방법, 동일 도구를 사용..
1. 해쉬함수사용키는 하나암호화는 되지만 복호화는 되지 않는다.즉, 완전암호 해쉬함수를 거쳐 나올 수 있는 경우의 수는 2의 128승 개이다. 두 파일이 틀려도 해쉬값이 같을 수 있다.하지만 경우의 수가 너무 많기 때문에 해쉬값이 같으면 파일이 같다고 생각할 수 있다.논리적으로는 같지 않지만 현실적으로는 해쉬값이 같은것을 찾을 수 없기때문에 같다고 생각할 수 있다. 즉, 사이버 포렌식에서는 원본, 사본, 해쉬값을 비교해봄으로써 원본 = 사본임을 증명할 수 있다.만약 해쉬함수가 없었다면 원본과 사본의 한비트한비트씩 모두 비교해봐야해쓸 것이다. 1.1 해쉬함수의 종류MD5SHASHA2 2. 소프트웨어의 신뢰성 소프트웨어의 이용자가 많으면 신뢰성이 높을 수 있다.보안제품을 인증받으려면 무료로하여 사용자들에게 ..
1. IOS 관리A. Boot SystemRunning Config의 헤더에 저장된다.Boot System Flash: A.bin B. RegisterSHOW Version 시에 나오는 맨끝의 문장0x...0 - ROM Boot0x...1 - ROM Boot(NO Flash Memory)0x...2 - Only Boot Flash0x...3 - F Global Configuration에서 Config-register [레지스터값]을 사용하여 바꿀 수 있다.레지스터에 저장되므로 저장작업을 수행하지 않아도 된다. 만약 ROM BOOT를 하였을때 Register 값을 변경하고 싶다면Confreg [레지스터 값]을 이용하여 바꿀 수 있다. 0x..4. - Startup-Config를 불러오지 않고 실행즉, No..
라우터 기본설정, 인터페이스 설정 접근관련- 명령어(Telnet, Console)- 인터페이스 설정- 라우터 비밀번호 복구 1. 라우터 비밀번호 복구전원 OFF - ONROM IOS BOOT
1. 디지털 데이터의 특성 복제 용이성 - 디지털 증거는 어느 매체에 저장되어도 동일한 가치를 가지게 된다.사본 압수시 동일성을 확보해야한다.초 국경성 - 국경성을 넘는 경우 국가간의 주권문제가 발생변조 가능성 - 디지털 증거는 간단한 조작만으로도 삭제 변경의 용이가 가능하므로 신속한 증거 보전이 필요하다. 2. 법정에서의 디지털 증거 법정에서 유효한 증거가되기 위하여 증거능력 관점에 유의하여 증거를 수집/분석/제출하여야한다. 2.1 증거능력(Admissibility, 증거로서의 자격을 인정받아야 한다.) - 전문법칙(Hearsay Rule)들은것을 말하는 것은 증거가 될 수 없다.- 위법 수집 증거 배제의 원칙 (Exclusionary Rule)위법하게 수집한 증거는 증거가 될 수 없다. 2.2 증명력..