~보안 일기~

Autopsy 정보확인법 1 hash값 확인- 이미지를 생성하면 파일이 저장된 곳에 자동으로 로그파일이 생성됨- 이미지 생성 완료 후 이미징 프로그램에서 완료와 함께 기본적인 매체 정보와 해쉬값을 확인할 수 있음 증거물 매체 정보 확인- 증거 매체(USB) : 총 용량, 총 섹터 수, 시리얼 넘버, Hash 값 등- 파티션/볼륨 : 파일시스템의 종류, 총 용량, 총 섹터 수, 시리얼 넘버, 클러스터 크기, 섹터 당 용량 등- 찾고자하는 정보에 따라 FTK Imager 및 이미지 생성로그와 Autopsy 교차 확인 필요 정보확인 방법1) 매체관련정보 : 이미지 생성로그에서 확인2) 파티션/볼륨 관련정보 : 생성한 이미지 파일을 FTK Imager에 불러와서 확인 특정 파일의 정보 확인● 파일의 시작위치(시..

1. HxD를 이용한 파티션 복구파일 시스템의 확인1) 증거 usb를 E01포맷으로 최초로 이미징을 한 후, FTK Imager에서 불러온다.2) 일부 파티션이 인식 불가라는 에러가 뜨면서 파티션 내부가 확인되지 않는 것을 확인3) 파티션 내부 접근이 불가능하고 'Unrecognized file system'이라는 에러메세지가 뜨면 파티션의 BR이 훼손되었을 가능성이 높으므로 복구가 필요함4) 파티션 복구는 RAW 파일로 이미징해서 HxD를 이용하여 복구 FAT 파일 시스템 복구- 생성한 E01 이미지를 확인하여 FAT32에 문제가 있다면 쓰기방지를 한 뒤 RAW파일로 이미지를 다시 생성FAT32 001파일을 HxD에서 열어본 모습.섹터 0을 보고 분석을 해본다. 박스로 잡은 부분을 보면 파티션테이블을 ..

쓰기방지 실습 레지스트리 수정을 통한 쓰기방지 1. 윈도우 시작버튼 -> 레지스트리 입력 2. 왼쪽 폴더 트리에서 StorageDevicePolicies가 있는지 확인 3. 없는 경우 새로 생성 그 안에 DWORD를 만들어서 파일?을 만들고 이름을 WriteProtect라고 작성한다. 여기서 데이터 값이 0이면 쓰기방지 해제, 1이면 쓰기방지 설정인거임 더블클릭해서 값 데이터를 1로 바꿔주면 된다. 4. 값 변경이 완료되면 창을 닫고 USB를 연결하여 이미지 생성 작업 시작 5. 쓰기방지 적용은 레지스트리를 정상적으로 수정 된 이후부터 연결되는 기기에만 적용됨

MBR 분석 파일시스템이란? 하드디스크에 데이터를 어떻게 기록하고, 읽어 들이며, 삭제할 것인지에 대한 약속 파티션 : 하나의 디스크나 USB 장치에 저장공간을 독립된 영역으로 나누어 사용할 수 있도록 정의한 규약 1. 파티션을 사용하지 않는 경우, 자제 제작한 파일시스템 사용 2. 단일 파티션 : 디스크를 파티셔닝하지 않은 경우. BR(부트 레코드)이 항상 파티션 앞에 있다. 3. 다중 파티션 : 디스크를 2개 이상의 파티션으로 나눈 경우. 두 개 이상인 경우 MBR(마스터 부트 레코드)이 맨 앞에 있다. MBR - 역할 : 윈도우가 설치된 파티션의 위치를 확인하여 알려줌 - 특징 : 첫번째 섹터에 위치하여 부트코드와 파티션 테이블 영역으로 나눠진다. 단일 파티션의 경우 존재하지 않을 수 있음 첫 번째..

디지털 포렌식 절차 및 무결성 유지 절차가 중요한 이유 : 법 절차에 IT기술을 활용하는 것이므로 증거능력이 상실하면 안되기 때문 준비 단계 1. 사건파악 및 증거물 수집계획 수립 2. 디지털 증거 수집 팀 구성 및 교육 3. 디지털 증거수집 장비의 준비 및 점검 4. 저장매체 확인 현장 도착 1. 전 과정의 사진 및 영상 촬영 2. 영장제시 or 동의서 작성 3. 현장통제 4. 사건현장 기록 증거의 수집 1. 휘발성 증거 수집 2. 비휘발성 증거 수집 3. 주변장치와 기타 기록물 수집 봉인 1. 증거물의 포장 2. 상세정보 기록 및 부착 3. 증거물의 확인 이송 연계보관성이 유지되도록 해야한다 증거분석 및 보고서 작성 무결성 유지를 위한 증거수집 절차 - 영상 촬영 : 전 과정을 영상으로 상세히 촬영 ..

디지털포렌식 용어1 데이터 크기의 표현 Bit < Byte < Kilobyte < Megabyte < Gigabyte < Terabyte < Petabyte 비트에서 바이트로 넘어가는 구간에서는 8바이트 단위로, 나머지는 1024 단위로 넘어간다. 1byte = 8Bit 무결성 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다. 무결성이 중요한 이유는 증거 능력이 있어야 하기 때문이다. - 무결성 입증방법 1. 해시값이 원본과 사본이 동일해야 한다 2. 증거의 수집 및 분석, 봉인 이송과정이 적법하게 진행되었는지에 대한 증명 - 사진, 영상 촬영 및 피조사인의 참여를 보장 쓰기방지 무결성이 깨지는 일을 막기 위해 원본 매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해 하는 ..