4-1. 2024-2 심화 스터디/디지털 포렌식 1팀 (7) 썸네일형 리스트형 [7주차] 디지털포렌식 1팀-디보 WiresharkWireshark는 네트워크 분석과 디지털 포렌식 분야에서 널리 사용되는 도구로, 네트워크 트래픽을 실시간으로 캡처하고 분석하는 데 탁월하다. 이 도구를 활용하면 네트워크 성능 문제를 진단하거나 보안 위협을 감지할 수 있다. Wireshark는 다양한 네트워크 프로토콜을 지원하며, 디지털 증거를 수집하고 분석하는 과정에서 중요한 역할을 한다. 1. Wireshark의 개요 및 주요 특징Wireshark는 로컬 네트워크와 원격 네트워크 트래픽을 캡처하여 분석할 수 있는 강력한 패킷 분석 도구다. 보안 전문가, 네트워크 관리자, 법 집행 기관 등에서 널리 사용된다.주요 특징:실시간 패킷 캡처: 네트워크 트래픽을 실시간으로 캡처하며, TCP/IP, UDP, HTTP, DNS 등 다양한 프로토콜.. [6주차] 디지털포렌식 1팀 - 디보 Magnet AXIOM은 디지털 포렌식 전문가들에게 필수적인 도구로, 다양한 플랫폼에서 효율적으로 데이터를 수집하고 분석하는 기능을 제공한다. Magnet AXIOM을 깊이 이해하고 사용하는 것은 디지털 증거 분석의 정확성화 효율성을 크게 향상시킬 수 있다. 이 도구는 복잡한 데이터 환경에서도 명확한 증거를 신속하게 찾아내는 데 적합하며, 법적 절차에서 필요한 수준의 신뢰성과 일관성을 제공한다.1. Magnet AXIOM의 개요 및 주요 특징Magnet AXIOM은 다양한 소스에서의 데이터 수집 및 분석에 중점을 두고 있다. 이 도구는 컴퓨터(Windows, macOS, Linux), 모바일 장치(Android, iOS), 클라우드 서비스(예: Google, Microsoft 계정)와 같은 다양한 데이터.. [1주차] 디지털 포렌식 기초 개념 및 도구 디지털 포렌식컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야 디지털 포렌식의 필요성해킹 등 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐범죄 수사 이외의 분야에서도 활용도가 증가하였음형사 사건이 아닌 민사사건에서의 포렌식일반 기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등등) 디지털 포렌식의 유형침해사고대응실시간 사태 파악 및 수습엄격한 입증 필요 X 증거 추출사후 조사범죄 증거 수집엄격한 입증 필요 O 디지털 포렌식의 대상디스크 포렌식 → 컴퓨터 디스크 (윈도우, 리눅스, MacOS / 개인, 서버, 클라우드)메모리 포렌식 → 컴퓨터 메모리 (RAM)네트워크 포렌식 → 네트워크 패.. [5주차] 디지털 포렌식 1팀 - 디보 기말 세미나까지 제작할 산출물인 '초심자를 위한 디지털포렌식 주요 툴 사용 매뉴얼' 에서 발표할 예정인 도구 두 개에 대해 조사한 내용을 정리해보았다. Autopsy1. 도구 소개 및 설치 방법Autopsy는 디지털 포렌식 도구로 주로 범죄 수사, 데이터 복구, 사이버 보안 위협 탐지 등에 활용됨디스크 이미지 분석, 삭제된 데이터 복구, 네트워크 아티팩트 분석 등 다양한 기능을 제공함.해당 도구는 사건 조사 및 데이터 분석에 유용하며, 법 집행기관, 보안 전문가, IT 관리자가 많이 사용함오픈소스 기반으로 무료 사용이 가능하고 직관적인 GUI 때문에 쉽게 사용할 수 있음The Sleuth Kit(TSK) 라이브러리를 기반으로 만들어짐Autopsy의 개발 배경 및 개요초기 디지털 포렌식 도구는 CLI 환경.. [4주차] 디지털 포렌식 1팀 - 디보 기말 세미나까지 제작할 산출물인 '초심자를 위한 디지털포렌식 주요 툴 사용 매뉴얼' 을 제작하기 위한 회의를 진행하였다.어떤 툴을 매뉴얼에 포함할지 선택하였고, 각자 역할 분담을 하는 시간을 가졌다. 선택한 툴 목록 1. Autopsy소개: Autopsy는 포렌식 데이터 분석을 위해 설계된 무료 오픈 소스 툴로, 파일 시스템 분석, 삭제된 파일 복구, 타임라인 생성 등 다양한 기능을 제공한다.추천이유: 직관적인 인터페이스로 구성되어 있어 파일 검색, 키워드 검색, 웹 브라우저 히스토리 등 포렌식의 기본적인 분석 작업을 배우기에 좋다.2. FTK Imager소개: FTK Imager는 디스크 이미지 생성과 파일 시스템을 빠르게 미리보기 할 수 있는 툴이다. 주로 디스크를 이미지 파일로 복사하거나 데이터를.. [3주차] 디보 -(디지털 포렌식 1팀) 3주차에는 Volatility Cridex에 대해 스터디해보았다.(*윈도우에서 보안 기능때문에 실행이 안 될 수 있으니 "바이러스 및 위협 방지"에 들어가서 환경설정을 변경해줘야 한다.)Volatility메모리 포렌식 도구. 오픈소스. CLI 인터페이스( 메모리 관련 데이터를 수집해주는 도구라고 할 수 있다.)버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함.Volatility에서 증거를 획득할 수 있는 이유임. 운영체제 식별imageinfo: 메모리 덤프의 운영체제를 식별입력어 ) volatility -f imageinfo프로세스 검색plist: 프로세서들의 리스트를 시간 순서대로 출력pscan: 숨김 프로세스를 출력하여 볼 수 있음.pstree: PID, PPID 기반으로 구조화해서 보여줌.. [2주차] - 디보 (디지털 포렌식 1팀) 2주차 활동으로는 섹션 2(디스크 마운트, 메모리 덤프) ~ 섹션 3 (Volatility Cridex 풀이(2)) 강의를 듣고 실습을 해보았다. 1. 디스크 마운트란? 정의: 물리적 저장 장치(하드 드라이브, SSD 등)을 시스템에 연결하여 데이터를 접근하는 과정. 목적: 디스크에 저장된 데이터를 읽어내어 분석하기 위함. 주요 절차: 쓰기 방지 장치를 사용하여 무결성 유지 포렌식 이미징: 원본 디스크의 정확한 복제본을 생성하여 분석 파일 시스템 분석: 삭제된 파일, 로그, 숨겨진 파ㅌ션 등을 탐색 사용 도구: Encase, FTK Imager 등 아래는 FTK Imager를 이용하여 디스크 마운트를 진행하는 과정이다. 2. 메모리 덤프 정의: 시스템의 RAM에 저장된 데이터를 그대로 복사하는 작업. 목.. 이전 1 다음
