끄적끄적

이전에 조사한 Forensic Tools들 중 EnCase와 Rekall에 대해서 좀 더 자세하게 조사해 보았다. 다음과 같다. 1. EnCaseEnCase 엔드포인트 Security는 다양한 유형의 경고에 응답하고 실제로 보안 이벤트가 발생했는지 여부를 확인하는 데 사용할 수 있다. SIEM 도구는 경고를 발행하기 위해 여러 시스템 간에 고급 상관관계를 생성하지만 실제로 대상이 실제로 발생했는지 여부를 확인하거나 손상 정도를 평가하지 않는다. EnCase 엔드포인트 Security를 ​​사용하면 이벤트를 식별한 후 중요한 최종 응답 단계를 수행할 수 있다. 이 도구는 SIEM 도구로 생성 된 경고를 받아들이고 경고가 생성되는 순간 영향을 받는 시스템의 휘발성 데이터에 대한 실시간 스냅 샷을 자동으로 취..

다음은 디지털포렌식 관련 도구로 사용해본 도구 중 유용하다고 판단되는 도구를 정리해 놓은 표이다. 소프트웨어는 필연적으로 오류를 포함하기 때문에 증거 분석에 사용하는 도구라면 반드시 2개 이상의 도구로 상호 검증을 수행하는 것이 바람직하다. 실제 분석을 수행하다 보면 인증 받은 도구의 기능적인 한계나 불편함으로 제3의 도구를 사용하는 경우가 있다. 이 경우에는 최종적으로 인증 받은 도구로 결과를 한 번 더 검증하는 작업이 요구된다. 도구의 장 · 단점은 목적에 따라 다르기 때문에 자신의 업무 목적에 맞는 적합한 도구를 사용하기 바란다. 목록은 다음과 같다.(최신 정보가 업데이트되지 않은 경우가 있다.) 통합 포렌식 도구 (Integrated Forensics Tools)NameInterfacePlatfo..

현재 졸업 프로젝트로 안드로이드 앱을 개발하는 것이 목표인데, 이를 위해서 Git에 있는 라이브러리를 가져다 써야되는 일이 생겼다. 안드로이드를 만져본 지 오래돼서 잘 기억은 안 났지만 일단은 해보았다. 다음과 같이 일단 Maven으로 프로젝트를 만든다. Next를 누르게 되면 다음과 같은 화면들이 등장하는데, 그냥 다 Next를 누른다. 그러면 아래와 같은 화면이 뜨는데, Group Id와 Artifact Id를 임의로 지정한다. 다음과 같이 지정하였다. 지정하게 되면 그 이름으로 된 Maven 프로젝트가 생성된다. pom.xml 파일을 클릭하고 맨 오른쪽의 xml을 들여다 보면 다음과 같이 되어 있다. 그리고 왼쪽 프로젝트 현황을 보면 Maven Dependencies에 현재는 JUnit밖에 없다. ..

지난번에 조사한 PUP와 그에 대한 사례에서 추가적으로 GRR에서 실제로 적용한 내용을 작성해보도록 하자. 테스트 대상의 시스템 정보는 다음과 같다. 테스팅을 한 악성코드는 다음과 같다. 그리고 ‘virustotal’이라는 사이트를 통해 테스팅한 악성코드를 각 안티바이러스군에 따라 분석을 해보았을 때 다음과 같았다. 대부분의 안티바이러스군이 악성코드라고 탐지한 malware.exe를 실행시켜 GRR에서 어떤 변화가 있는지 확인해보았다. 우선적으로 GRR에서 ListProcesses와 Netstat를 실행하여 기존 값을 찍어둔 뒤, malware.exe를 실행한 후 GRR에서 다시 ListProcesses와 Netstat를 실행하였다. ListProcesses는 아래와 같이 출력되었다. - ListProc..

GRR은 Google Rapid Response의 약자로써, 원격 라이브 포렌식에 중점을 둔 침해사고대응 프레임워크이다. 구글은 GRR을 보안 커뮤니티 전체에 공개했고 오픈소스화 시켜서 기존의 사건 대응 플랫폼에 대한 대체재를 마련하였다. 특정 악성코드 분석을 실시, 일정한 패턴을 가지고 있는지를 파악하여 그것을 GRR을 통해 적용, 실시간으로 관제하는 라이브 포렌식을 실시하여 black list로 걸러낼 수 있도록 하는 것이 목표이다. 추가되는 내용이 있다면 더 쓰겠다. GRR에 대해서 더 알고 싶은 부분이 있다면 다음의 링크를 참조하면 좋을 것이다. https://cpuu.postype.com/post/177743/

PUP은 공개용 프로그램의 번들이나 블로그, 카페 등에서 S/W 설치 시 약관의 동의 없이 광고를 노출하거나 브라우저의 시작 페이지를 특정 사이트로 변경하는 역할의 악성코드이다. 교묘하게 사용자의 동의를 얻어 내고 설치되기 때문에 악성코드로 분류하는데 어려움이 있다. 따라서 불필요한 프로그램으로 별도로 분류된다. 이러한 PUP 악성코드의 주된 목적과 다르게 변조되어 PC에 저장된 공인인증서를 외부로 전송하는 악성코드가 발견되었다고 한다. 기존 PUP의 감염 방식과 변경된 신종 PUP 감염 방식은 다음과 같다. 기존 PUP 악성코드는 S/W 설치 시 광고나 시작 페이지 변경을 위한 별도의 프로세스를 몰래 생성하여 사용자 PC의 인터넷 브라우저나 레지스트리 변조를 통하여 광고를 노출했다. 그러나 변경된 PU..

개인정보 비식별화 관련 국내외 오픈/상용 도구 현황 중 내가 분석할 것으로 고른 것은 다음과 같다. 공개 소프트웨어 : Open Anonymizer, sdcMicro상용 소프트웨어 : PARAT, IDENTITY SHIELD 1. 공개 소프트웨어 - Open Anonymizer Open Anonymizer는 말 그대로 오픈된 익명화하는 것, 즉 오픈 소스와 유사한 개념으로 볼 수 있다. 공개된 장소에서 무료로 사용할 수 있도록 제공된 tool이라고 볼 수 있다. 그 종류로는 JonDo, Tor, VPN, Proxy, DICOM 외에도 tool들이 존재한다. 여기에서 JonDo, Tor, VPN, Proxy에 대해서 분류하면 다음과 같은 특성으로 할 수 있다. - JonDo, Tor, VPN, Proxy ..

개인정보 비식별화 관련하여 프로젝트를 맡게 되었다. 그때 작성한 문서를 토대로 게시글을 올려보도록 하겠다. 일단 기본적으로 개인정보에 대한 개념을 파악해보겠다. 개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다. 따라서, 개인정보는 누군가에 의해 악의적인 목적으로 이용하거나 유출될 경우 개인의 사생활에 큰 피해를 줄 뿐만 아니라 개인 안전과 재산에 피해를 줄 수 있다. 개인정보 비식별화 조치 가이드라인(정부부처 합동(국무조정실, 행자부, 방통위, 미래부, 금융위 등), 개인정보 비식별화 조치 가이드라인, 2016. 06. 30)에 ..

기존에 카카오톡 API를 이용하여 하던 프로젝트가 있었는데 경로가 변경되어서 에러가 발생하는 문제가 발생하였다. 하... 혼자 계속 들여다 보고 검색을 해봐도 해결 방법이 떠오르지 않았고, 결국 아는 동생에게 물어봐서 해결할 수 있었다. 만들어두었던 서버에 PHP를 이용하여 연동을 하였고 그 과정에서 API의 URL을 설정해주는 부분이 존재했는데, 당연히 경로가 변경되어서 일치하지 않기 때문에 API TEST를 통과하지 못하는 일이 발생할 수 밖에. 그래서 일단 /etc/lighttpd로 들어가서 설정해주는데, 나머지 기존 설정은 그대로 두고 API의 URL을 설정해주는 부분에서 경로를 바꿔주었다. url.rewrite-once = () 부분에서 경로를 바꿔주고 끝. 오늘도 하나 배운 점이 있었다.

저번에 .dmd라는 파일의 형식이 의심이 갔고 코드 단위로 분석해 보라는 말이 있어서 분석해 보았다.그래서 이 부분에 대해서 추가적인 코드 분석을 하였다. JEB를 통해 바이트 코드에서 디컴파일러를 실시하여 보았다.우선 기본적으로 변수들이 정적으로 지정되어 있는 부분을 알 수 있었다. 그리고 나서 Parameter들을 추가하는 메소드(appendParam), InputStreamReader를 통해 String을 생성하는 메소드(generateString), Content를 받아 CharacterSet을 결정해주는 메소드(getContentCharSet), Parameter를 만들어 주는 메소드(makeParams)들이 있었는데 위에서 언급한 것과 같은 기능을 하고 있고 중점으로 분석해야 된다고 판단한 부..