악분의 블로그

법률, 디스크 이미징, 디스크 복원 생략 (복원은 디지털포렌식 2급 실기 175 ~ 182 페이지 참고) 1. 본사의 조작지시와 조작된 POS데이터의 흔적을 찾아 해당 파일을 추출하여 제출하시오 1.1. 시그니처 분석 시그니처 자동 분석을 통해 확장자와 시그니처가 다른 파일을 찾는다. 조건검색으로 확장자와 시그니처가 다른 파일을 필터링한다. 1.2. 시그니처가 불일치한 파일 분석 "본사지시사항에 대한 답변.jpg"는 이미지 파일이지만 KFOLT의 Image로 분석하면 이미지가 보이지 않는다. 하지만, Document로 분석하면 파일 내용이 보인다. [이미지 04]에 있는 내용을 복사해서 메모장에 붙여넣기 한다. 본사가 지시한 조작한 내용이 확인된다. '본사지시사항에 대한 답변.jpg'를 더블 클릭하면 해..

1. 윈도우 디펜더 해제 윈도우 7부터 기본으로 설치되어 있는 안티 바이러스이 윈도우 디펜더가 파일을 검사하면 액세스 시간이 변경된다. 그리고, 악성코드라고 확정한 파일에 대해서 기본적으로 삭제조치를 한다. 그러므로, USB 연결 전에 윈도우 디펜더를 해제한다. [실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Windows Defender 바이러스 백신 -> Windows Defender 바이러스 백신 사용 안함] 2. 쓰기 방지 - 윈도우 디펜더 비활성화(다른 백신이 있으면 백신 비활성화) -> 쓰기 방지 설정후에 디스크 이미징 작업을 한다. - 레지스트리 또는 도구에서 지원하는 기능 택 1 ※개인적으로 KFOLT가 편함 2.1 레지스트리 설정 (..

2019년부터 디지털포렌식 출제학회에서 기출문제 일부를 공개하고 있다. 그리고, 대회 전용 도구인 KFOLT도구를 같이 배포한다. Encase는 유료 도구여서 직장인 또는 대학 연구실 사람이 아니면 접하지 못하는 도구이다. 아마도, 이를 학회에서는 이를 안타까워해(?) KFOLT도구를 따로 제작한듯 하다. KFOLT도구와 실습문제는 디지털포렌식 전문가 접수 홈페이지(ybermap.kaspersky.com)의 공지사항에서 다운로드 받을 수 있다. 실습파일의 문제는 알라딘, YES24등에서 구매가능하다. 약 35,000원이다.

KFOLT는 포렌식학회에서만든 디지털포렌식 전문가 2급 실기를 위한 도구이다. 실기시험 30일전부터 실시 시험날까지 무료로 공개한다. 시험이 끝나고 사용할 수 없다. 디지털포렌식 실기 2급의 문제는 기밀자료 유출을 분석하는 문제유형이 많고, 확장자와 시그니처가 서로 다른 파일이 유출된 기밀자료일 가능성이 많다(그 외에 삭제된 파일이 있다). KFOLT에서는 [자동 분석 -> 시그니처 분석]기능으로 쉽게 확장자와 시그니처가 서로 다른 파일을 찾는다. 1번 실습파일를 예를 들어보자. 아래 그림에서 1->2->3번 순서대로 실행하면 확장자와 시그니처를 비교하면서 다른 파일 또는 이상한 파일을 분석한다. 시그니처 분석 이후에 조건 검색으로 쉽게 확장자와 시그니처가 다른 것을 필터링 가능하다.