liqu3ur 님의 블로그

iTunes backup iOS 기기와 동기화된 컴퓨터에는 방대한 정보가 저장되어 있다. 이 컴퓨터를 일반적으로 호스트 컴퓨터라고 부르며, 과거 데이터와 암호 우회 인증서를 보유하고 있을 수 있다. 형사 수사에서 수색 영장을 통해 용의자의 컴퓨터를 압수하고 해당 백업 및 인증서를 확보할 수 있다. 이 외의 경우는 동의 또는 허가된 접근이 필요하다. iOS 백업 파일 포렌식은 주로 iPhone, iPad, iPod touch, Apple Watch의 오프라인 백업을 분석하는 작업이다. Applw Watch의 데이터는 동기화된 iPhone 백업 안에 포함된다.물리적, 파일 시스템, 논리적 방법으로 iOS 기기에서 데이터를 추출하기 어려운 경우, iTunes 백업 방식이 유용하다. 포렌식 수사관은 iTunes..

Mobile forensics 모바일 포렌식은 디지털 포렌식의 한 분야로, 모바일 기기에서 디지털 증거를 복구하는 작업을 다룬다. 디지털 포렌식 세계에서는 특정 포렌식 기술이나 방법론이 적합하고 정당하다는 것을 의미하는 법적 무결성이 매우 중요하다. 디지털 증거에 대한 무결성 있는 포렌식 수사의 주요 원칙은 원본 증거를 절대 수정하지 않는 것이다. 하지만 모바일 기기에서는 이 원칙을 지키기가 상당히 어렵다. 일부 포렌식 도구는 모바일 기기와의 통신이 필요하므로, 표준 쓰기 방지가 포렌식 데이터 획득 중에 작동하지 않을 수도 있다. 모바일 기기의 설정을 변경하지 않고 데이터를 획득할 수 없다면, 해당 절차와 변경 사항을 반드시 테스트, 검증, 문서화해야 한다. 적절한 방법론과 지침을 따르는 것이 가장 가치..

Volume Analysis 볼륨 분석은 저장 장치에서 바이트를 파티션하고, 조립하는 데 관련된 데이터 구조를 살펴보는 것이다. 이를 통해 볼륨을 생성하게 된다. 볼륨은 파일 시스템 및 기타 구조화된 데이터를 저장하는 데 사용되며, 이런 내용은 File System Analysis에서 다루도록 하겠다. 여기서는 볼륨 분석의 기본 개념을 추상적인 방식으로 접근하며, 모든 유형의 볼륨 시스템에 적용되는 원칙을 설명할 것이며, 특정 유형의 파티션 및 조립 시스템에 초점을 맞출 것이다.  Introduction디지털 저장매체는 데이터를 효율적으로 검색할 수 있도록 구성된다. 볼륨 시스템은 일반적으로 Microsoft Windows를 설치하면서 하드디스크에 파티션을 생성하는 과정에서 접할 수 있다. 설치 과정에서..

문제 설명가짜 flag를 피해서 진짜 flag를 찾아라!@ 아래는 문제와 함께 제공되는 flag.png다. 문제 풀이우선 아래 이미지와 같이 HxD로 이미지를 열어보도록 하겠다. Header Signature가 0x89504E470D0A1A0A로 파일 확장자는 png인 것을 확인할 수 있으며, 올바른 확장자를 사용하고 있음을 확인할 수 있다.그렇다면 여러 이미지가 병합되어 숨어있을 수 있다는 가정을 해볼 수 있다.png의 Footer Signatue(0x49454E44AE426082)를 확인해보니 png 파일 외에 zip 파일 Header Signature(0x504B0304)가 추가로 있는 것을 확인할 수 있다.  아래 이미지와 같이 zip 파일의 시작 오프셋은 4680이고, 종료 오프셋은 7212임을..

Disk Imaging디스크 이미징이란 디지털 저장매체의 복제본인 디스크 이미지를 생성하는 과정이다.※ 디지털 저장매체란 HDD, SSD와 같이 데이터를 저장하는 장치를 의미한다.※ 디스크 이미지란 디지털 저장매체에 저장되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것을 의미한다. 디스크 이미징을 위해 사용하는 도구 중에는 FTK Imager라는 프로그램이 있다.FTK Imager 다운로드(https://www.exterro.com/digital-forensics-software/ftk-imager) 설치가 완료되면 아래 이미지와 같은 화면을 볼 수 있다. FTK Imager를 이용한 Disk Imaging프로그램 왼쪽 상단의 'Add Evidence Item'을 누르면 아래 화..

MBR(Master Boot Record)MBR은 디스크의 가장 첫 섹터에 저장되는 데이터를 의미한다. 섹터란 디스크의 최소 기억 단위로, 전통적인 하드디스크에서는 512 바이트 크기를 가진다. 즉, MBR이란 단순히 디스크의 가장 처음 512 바이트 영역에 저장되는 데이터를 지칭하는 용어이다. VBR(Volume Boot Record)VBR은 볼륨의 가장 첫 번째 섹터에 저장되는 데이터를 의미한다. VBR은 MBR과 다르게 하나 이상의 섹터로 구성되며, 그 크기는 파일 시스템과 클러스터 크기에 따라 달라질 수 있다. MBR, VBR RoleMBR과 VBR은 컴퓨터의 부팅 과정에서 사용되는 데이터이다. 컴퓨터 메인보드의 BIOS가 POST(Power On Self-Test) 과정과 기본적인 하드웨어 점검..

Partition, Volume파티션이란 저장장치 내의 공간을 분리해 독립적인 공간을 만든 것을 의미한다.  볼륨이란 하나의 저장 공간을 의미하는데, 정확히는 파일 시스템을 갖춘 저장 공간을 지칭한다. 일반적으로 하나의 볼륨은 하나의 파티션 내에 생성되기 때문에 파티션과 볼륨이 혼용되어 사용되기도 한다.※ 볼륨은 드라이브(Drive)라고도 부른다. C 드라이브, D 드라이브라고 부르는 것이 볼륨을 지칭하고 있는 것이다.  Partition, Volume Practice파티션을 나누고 볼륨을 만들어보도록 하겠다. [실습 준비물]- 실습에는 여분의 저장 공간이 필요하므로, USB 또는 운영체제가 설치되어 있지 않은 D 드라이브 혹은 E 드라이브※ 볼륨 포맷 실습은 잘못 진행할 경우 Windows나 중요 정보..

Artifacts디지털 포렌식에서의 디지털 증거는 크게 보관 증거와 생성 증거로 나눌 수 있다.  ※보관 증거는 사람이 직접 작성한 데이터를 의미한다.ex) 컴퓨터에서 사람이 직접 작성한 문서 등이런 증거는 작성자의 생각이나 감정이 표현되어 있기도 하다. ※생성 증거는 사용자의 직접적인 개입 없이, 자동으로 생성된 증거를 의미한다. 사용자의 어떠한 행위로 인해 간접적으로 운영체제, 파일시스템 또는 어플리케이션이 생성한 데이터를 의미한다. ex) 컴퓨터를 부팅했을 때 생성된 이벤트 로그 등 아티팩트는 생성 증거 중에서 일정한 구조를 띄는 데이터를 의미한다. Windows Artifacts Type 분류아티팩트주요 획득 가능한 데이터시스템 파일레지스트리                ※주기적인 업데이트 예정입니다.

VolatilityRAM과 같은 휘발성 메모리는 전원 공급이 중단되면 기억된 내용이 없어지는 성질을 가진다.Memory Dump메모리 덤프는 메모리에 저장된 휘발성 데이터를 비휘발성 데이터로 저장된 데이터를 말한다. 메모리에 저장된 데이터는 시간의 경과에 따라 실시간으로 변하는데, 메모리 덤프를 수행한 시각에 저장되어 있는 데이터만이 메모리 덤프의 결과가 된다.예를 들어, 어떤 데이터가 1분 뒤에 메모리에서 사라진다고 가정하면, 1분 이내에 메모리 덤프를 수행해야 그 데이터를 획득할 수 있다. 따라서 메모리 덤프는 사건이 발생한 이후 최대한 빠르게 수행하는 것이 중요하다.Memory Dump PracticeWinpmem이라는 도구를 이용해 메모리 덤프를 직접 해보도록 한다. [실습 도구 설치]winpme..