| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 심리학
- 여행
- Shared Elements
- opcode
- 심리여행
- Interface
- 보안
- throws
- jvm
- HelloWorld
- 회피
- Recylcer
- 일상탈출
- 버킷리스트
- static
- ㅇ
- bytecode 분석
- 일상회피
- 보안취약점
- Navigation Component
- bytecode
- Android
- Transition
- javap
- 여행계획
- 치유
- abstract
- extends
- IMPLEMENT
- 취약점
- Today
- Total
패스트터틀
디지털 포렌식 기술(19.5.21) 본문
포렌식도구(일반사용자 사용 불가) 를 사용해서 할것이고
1.개요
포렌식은 본래 법의학적인 측면에서 범죄현장에서 법정에서 발휘할 증거를 찾는것인데
디지털포렌식은 디지털 증거물에 대한 보존, 수집, 유효성확인, 식별, 분석, 해석, 문서화, 표현 등을 수행하는것
절차 : 증거획득 - 보관이송 - 복구분석 - 보고서 작성
포렌식에서는 OSI 7계층처럼 이미지가 있으면 볼륨을 분석하고 그 볼륨에서 파일시스템 분석 그리고 거기서 파일들을 분석하는 그러한 계층들이있음
이런 분석된 결과들을 순서대로 다음으로 보내줌(계층처럼 정보전달)
포렌식은 전세계적으로 시장이 넓지 않다.
Commercial tools
EnCase by Guidance Software
FTK
X-Ways
UFED
Free or Open Source tools
COFEE2
Sleuthkit(이미지?도구안에 포함)
검색하고 뷰잉이 가능하도록 엔진들이 내장되어있음
DISK
볼륨과 파티션으로 이루어진 하드웨어
파일시스템분석 툴 사용을 실습했다.
분석을할때에는 Triage(의사들이 병사들의 상태를 색별로 분류하는기준)라는 개념으로 파일을 분류함
UFED(미국, Cellebrite 社)- 미국의 사주를 받고있는 이스라엘회사이다(음.. 머지?)
- 모바일 포렌식 소프트웨어의 리더급인 분석 프로그램
예전에는 폰 내부의 저장장치를 덤프해서 파일시스템을 끄집어내면됬지만
현재는 버젼 몇 이상부터 암호화가 되어있어서 전체적인것보다는 폰에서만 허용해주는 파일들만 분석해야됨
그래야되기때문에 포렌식회사는 이 암호화를 복호화 또는 해킹으로 잠금을 해체하거나 해주는 기술을이용
그래서 비쌈
PC기반용의 포렌식기구나 도구들이 700만원정도 한다고 친다면 모바일은 1억 5천정도한다.
여하튼 시스템의 취약점을 이용해서 데이터를 끌어오는 방식
기본개념
Imaging
증거 수집 대상을 bit -by- bit로 복제하는것
무결성 검증을 위해 해쉬 생성 및 첨부
Target
하드디스크(IDE- PATA, SATA, SCSI)
플래시 메모리(USB, IEEE 1394, MP3, PDA)
플로피 디스켓
CD/DVD 등
RAM
Image File Format
DD(raw) (이미지 파일 포멧은 dd라는 포멧이 있는데 완전히 똑같이 복사하는것임)(교육시)
★ Encase: EWF, Ex01, L01, Lx01 ( Encase는 포렌식의 대중화에 앞서는데 여기서 사용하는포멧이 이런식이있음, 그래서 기본이되었다고함, 많이 사용하다보니까)
기타 : FTK(AD), AFF 등 ( 오픈소스? 에서 )
포멧을 만들어 놓으면 상대방도 이 포멧에서 읽을수 있어야되는데 그렇기 때문에 공통 포멧이 중요하다고함
자국말고 타국에서도 통용가능한 포멧을 잘 선정하는것이 중요함
예를들어 DD포멧은 1G가를 포멧시 1G를 따라오지만 Encase포멧은 압축을 지원하는것은 용량의 변화가 일어나기 때문에 차이점이 있다고 볼수있음
Image 고려사항
Metadata
Splitting
Compression
Integrity Information
Error Information
Write blocking
은 write를 불가하게 하는것으로서 포렌식과정에서 변조가 일어나지 않기 위해서 쓰는방법
FTK Imager
기본적인 복구와 HEXA값들을 볼수있늠
DD
리눅스에서 DD유틸리티로 bit-by-bit로 복제 가능함(bit-by-bit도구들은 많이있음)
파일시스템 분석 및 복구 기술
FTK Imager로 실습하여서
받은 이미지파일을 로드하였다.
위에는 인식되지않지만 나의 하드를 보면은 인식할수있다는것을 알수있다.
가능한이유는 운영체제에서 보여주는것이 아니고 포렌식도구에서 인식하는것이기 때문이다.
포렌식도구에 잡히는것은 정상적인것이고 이것으로 USB고장인지 파일문제인지 인식도 가능하다.
Partition
종류
DOS Partition(윈도우에서 쓰는것)
GPT
Apple Partition Map(맥에서 쓰는것)
다중디스크 볼륨(Mulitiple disk volume)
여러 개의 물리적 디스크가 논리적 볼륨 구성
S/W 및 H/W RAID
Windows XP 동적 디스크
삭제 파티션 탐지 및 복구
) 디스크가 있다. MBR(Mast boot Record) 하나의 주소로 관리하면 MBR
네 개로 관리할꺼면 MBR에 4개가 있다(세부적으로는 복잡하지만 이런식으로 일단 이해)
MBR형태를 여러개 단계적으로 두는것은 DOS다중 파티션(확장 파티션)
해당 파티션에다가 파일시스템을 올리는것을 포멧(Format) 이라고 함
Volume(Partition) Analysis
MBR(512 Bytes), Boot Code(446 Bytes), Partition Table(64 Bytes), Signature(2 Bytes)로 이루어져있음
0 1 bytes Bootable flag
1-3 3 CHS Address(시작) (Cylinder, Head, Sector) 예전꺼라 사용안함?
4 4 Partition type
5-7 3 CHS Address(끝) (Cylinder, Head, Sector) 예전꺼라 사용안함?
8-11 4 LBA Stack Address
12-15 4 Sector Count
MBR파티션을 보고 FTK가 정리를해놓는거임.
3F 00 00 00 을 (오른쪽에서왼쪽으로해석) LBA Stack Address 를 보고 16진수를 10진수로 바꿔서
이렇게 해석을 해서 63번 섹터에서 시작한다는것을 알수있음
그런데 가보면은 전부 값이 0이 인데 이건 일부로 그렇게 만든것(교수가)
교수님이 32번째 섹터라고 알려주었고 32번 섹터 3번째 줄에서 전체 크기를 알아서
E0 7F F1 00(전체크기)를 복사해서 붙혔고
20은 시작번 센터가 32번째라는뜻
0B는 FAT32이기 때문에 변경불필요하기 때문 (lockandcode.com -> product -> 맨위쪽에 정보있음)
이렇게 MBR이 사라졌을때 찾는방식은 ( 구조가 바뀐것임 ) 포멧했을때
MBR은 있는데 부트레코드가없을때 값만 만들어주면은 찾아줄수있음
우리가한건 섹터그냥 찾아준것일뿐, 전혀 어려운건없음
데이터를 저장할때 하나의 섹터단위로 저장하지는 않는다. 512bytes로 관리하면 힘들기 때문에
그래서 보통 Sector를 8개정도씩모아서 할당을 하는데 8개면은 4096Bytes이다.
예를들어서 1K(1024bytes)짜리 파일을 만들어도 8개를 쓴다. 2048Bytes도 동일하게 8개 항상
8개를 만든다. 5000Bytes면 16개를 쓴다. 그러니까 무조건 8개씩이 하나의 단위라고 생각하면된다.
이렇게 데이터를 저장하는 단위를 클러스터(cluster)라고 한다.
그러면 이렇게 하면 빨리 빨리 하고 할수있는데 반해 단점으로는 높게 주면 공간손실이 많아진다.
BootRecord에서는 단위를 클러스터로 쓴다.
이렇게 파일시스템 전부를 파악해서 파일을 복구하는방법은 매우 많다.
(메타데이터 기반 복구, 데이터 기반 복구, 운영체제 기반 복구, 파일시스템 기반 복구)
우리 했던것은 BR복구(Boot Record Recovery) 이다.
IT EXPERT 임베디드 개발자를 위한 파일시스템의 원리와 실습(해당 책을 추천했음)
http://www.hanbit.co.kr/store/books/look.php?p_code=B9799898192
IT EXPERT, 임베디드 개발자를 위한 파일시스템의 원리와 실습
파일시스템은 공개된 소스가 많아 쉽게 가져다 쓸 수 있다. 그러나, 그냥 가져다 쓰는 소스는 확장성이 떨어지고 사후 관리도 불안하여 기존 파일시스템을 기반으로 하여 대부분 자체 파일시스템을 개발하게 된다. 즉, 임베디드 시스템 개발의 필수 개발 코스가 되어버린지 오래다. 이 책은 개념과 원리에서 그치지 않고 실습하면서 독자의 현장 적응력을 길러주는 데 주력하였다. 또한, 가장 많이 활용되는 범용적인 파일시스템을 다루어 이를 기반지식으로 다양한 파일시스템
www.hanbit.co.kr
우리나라에서는 파일시스템을 깊게 하는사람은 없음. 하지만 포렌식이라는것은 파일시스템 구조를 모르면 불가능하기때문에 필수적으로 알아야되는 부분이다.
압수수색시에는 북마크로 저장해서 빼고 dd파일로 생성후
csvfile : 압수목록 교부용 파일 목록
는 받는놈도 나도 받고있음
검사받는놈들은 csv파일, 리포터를 주어서 무결성 입증함
포렌식은 자격증도있고 공무원으로 들어가서 실력을 쌓거나 비정규로 선관위인가 거기 들어가서 하면 어디또 가고 하면 충분히 가능하다고함 그리고 명정보기술은 데이터복구 잘하는대로 배울때가 많다고함
그래서 길을 잘 잡고 방향을 잘 잡으면 충분히 노력하고 하면 잘될수있기에 관심있다면 관심을두라고함
r-studio -> 하드디스크 복구 프로그램? (실생활에서 도움되라고 얘기해줬음)
R-studio는 복구기법이 어느정도 들어가있음
하드디스크 고장났을때는 무조건 전원차단하고 해야됨, 일단 전기공급되면은 덮어쓰기가 일어나기때문에 복구가능성이 매우 떨어진다고함
'Cyber Security(undergraduate) > digital forensics' 카테고리의 다른 글
| 모바일 포렌식(19.5.23) (0) | 2019.05.23 |
|---|---|
| 안티 포렌식(19.5.22) (0) | 2019.05.22 |
