MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
MAGNET Axiom - User Guide (Korean) #11 휘발성 프레임 워크를 사용하여 메모리 스캐닝
2020.04.29[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 메모리 덤프에는 덤프가 발생했을 때 현재 메모리에 저장된 모든 데이터 레코드가 들어 있습니다. 이 파일에는 시스템 충돌 또는 시스템 종료 시 손실될 수 있는 정보가 포함될 수 있습니다. 메모리 덤프에서 사용할 수 있는 정보는 실행 중인 프로세스와 사용자가 열어본 파일에 대한 정보가 포함되어 있으므로 사건 응답 조사에 특히 유용할 수 있습니다. Magnet RAM Capture 또는 타사 제품으로 대상 컴퓨터에서 메..
[FTK ACE] FTK ACE v6 자격증 취득
[FTK ACE] FTK ACE v6 자격증 취득
2020.04.29인생 첫번째 디지털포렌식 관련 자격증입니다 :)
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
2020.04.28[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 드라이브를 이미징할 때 4가지 고유한 이미징 옵션을 선택할 수 있습니다. 선택한 옵션에는 시간 범위와 찾고 있는 데이터 유형이 반영되어야 합니다. 전체 원시 - 드라이브의 전체 내용 옵션 드라이브의 실제 이미지를 나타냅니다. 이러한 유형의 인식을 수행하는 동안, Manget AXIOM Process는 드라이브의 전체 콘텐츠를 단일 .raw 파일에 복사합니다. 이 옵션은 일반적으로 가장 오래 걸립니다. 전체 E01 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석
2020.04.25이번 포스팅에서는 저번 포스팅에서 생성한 케이스를 분석해 보도록 하겠습니다. #1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 먼저 수집된 증거는 총 9,309개입니다. 이 증거들에는 현재 카카오톡 PC버전에서 사용한 내용들이 나와 있는데요, 먼저 저는 카카오톡 대화방이 총 56개이며, 연락처는 2001개, 주고받은 메시지는 4,673개입니다. (컴퓨터를 새로 사고 진행했을 때 당시 대략 4일 정도 지난 량 / 아마 1년 이상 사용한 PC라면 수만 개의 대화가 있을 거라고 추측됨) 1. 카카오톡 대화방 먼저 카카오톡 대화방입니다. 위에 보이는 사진과 같이 ..
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
[Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집
2020.04.24#1 증거 수집 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #1 증거 수집 #2 증거 분석 - [Magnet] 카카오톡 포렌식 (윈도우 / Kakaotalk) #2 증거 분석 오늘은 Magnet Axiom 툴을 이용한 카카오톡 포렌식에 대해서 다뤄보도록 하겠습니다. 먼저 Axiom을 켜줘야겠죠? 먼저 Axiom을 실행시켜주고 상황에 맞게 케이스를 입력해줍니다. 케이스 상세 정보를 입력해 주었다면, 증거 소스로 이동합니다. 증거 소스를 컴퓨터 - Windows - 증거 로드 - 파일 및 폴더 순으로 들어가 줍니다. 먼저 필자는 라이브 포렌식을 진행할 것입니다. 만약 이미지를 가지고 있다면, 이미지를 선택해주세요 저는 C드라이브에 카카오톡이 설치되어있기 때문에, 메인 드라이브인 C드..
[Security Traps] Swapping - C++ Trap #3
[Security Traps] Swapping - C++ Trap #3
2020.04.23https://securitytraps.pl/challs/cpptrap3/ Exploiting Machine securitytraps.pl 먼저 문제를 살펴보도록 하겠습니다. 문제는 간단합니다. C++ Trap #3 int main() { unsigned int x = 0xB0FF14a5; unsigned int y = 0x7340c00e; /*INPUT*/ if(x==0x7340c00e && y==0xB0FF14a5) victory(); return 0; } Your main objective is to call the victory function. You must put one line of your code: - Max 11 chars. - You can't use: "main", "victory..
[Security Traps] Hello World! - C++ Trap #7
[Security Traps] Hello World! - C++ Trap #7
2020.04.22https://securitytraps.pl/challs/cpptrap7/ Exploiting Machine securitytraps.pl 조금 어려운 문제다. - You can't use: "main", "asm", "puts", "printf", "putc", "write", "builtin", "#", "*", "&", "_", ";", ",", "\". 위에 나온것들을 사용하지 않고 최대 50글자로 Hello World! 를 출력해야한다. 이런 생각은 해보지 않았을거라고 생각하는데 일반적으로 Hello Wolrd!를 출력하기 위해서 #include int main() { printf("Hello World!"); return 0; } 이렇게 printf를 사용하고 있다 또는 아래와 같은 예제도 가..
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
2020.04.21오늘은 iPhone에 저장되어있는 메모장에 저장되어 있는 내용들을 추출해서 분석해 보도록 하겠습니다. 먼저 저는 iPhone6 / 12.3.1 / JailBreak 을 사용하였습니다. 먼저 메모가 저장되어 있는 위치는 아래와 같습니다. \private\var\mobile\Containers\Shared\AppGroup\[AppID]\NoteStore.sqlite 테이블 구조는 위 사진과 같습니다. ACHANGE, ATRANSACTION, ATRANSACTIONSTRING, ZICCLOUDSTATE, ZICCLOUDSYNCINGOBJECT, ZICLOCATION 등등이 존재 합니다. 저장한 메모의 문자열은 ZICCLOUDSYNCINGOBJECT 테이블의 ZTITLE1 칼럼에 존재합니다. 위 사진을 보면 문..
[Magnet] Magnet Acquire 사용법
[Magnet] Magnet Acquire 사용법
2020.04.19오늘은 Magnet Acquire 프로그램 사용법에 대해서 알아보도록 하겠습니다. Magnet Acquire의 경우 수사기관, 정부기관에게만 제공된다고 합니다! 먼저 프로그램을 실행시켜 줍니다. 처음 키게 된다면 장치를 검색하게 됩니다. 검색이 완료되면 컴퓨터와 연결된 모든 디바이스와 디스크에 대해서 보여주게 됩니다. 저는 iPhone6를 대상으로 이미지를 취득해 보겠습니다. 아이폰을 선택해준후 다음을 눌러주면 위와 같이 빠른 또는 전체 스캔을 고를수 있습니다. 하지만 아이폰에 탈옥 이 되어 있지 않은 아이폰의 경우 전체 스캔을 사용할수가 없습니다. 필자는 탈옥을 하지 않은 아이폰을 상대로 이미징을 해보도록 하겠습니다. 다음을 눌러 줍니다. 증거 폴더 이름과, 이미지 이름, 조사관, 증거 번호, 설명에 ..
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
2020.04.18대략 1주 전부터 코로나의 영향으로 인해서 Autopsy회사에서 온라인 강의를 무료로 배포 하고 있습니다. https://training.autopsy.com/ Autopsy Training We suggest moving this party over to a full size window. You'll enjoy it way more. training.autopsy.com 위 사이트를 접속해 줍니다. 그후 쿠폰 받기를 클릭해 줍니다. 신청서를 작성하고 대략 30분 정도 기다려 줍니다. 쿠폰 코드를 받고 쿠폰 입력창에 쿠폰 번호를 입력해줍니다. 쿠폰 번호를 입력해주면 $495 가 $0 으로 바뀌게 되면서 결제가 완료 됩니다. 강의를 불나게 들어주고 수료증을 받으면 끝이 납니다! 이상으로 홍보를 마치겠습니..
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
2020.04.16오늘은 아이폰 기본 기능 중 "가리기" 기능을 통해서 가려진 사진도 포렌식이 되는지 확인해 보도록 하겠습니다. 가리기 기능은 갤러리에서 사진을 선택후 옵션 버튼을 통해서 가리기를 사용할 수 있습니다. 먼저 저는 6개의 사진을 가려보았습니다. 이제 분석을 진행해 보도록 하겠습니다. 먼저 Axiom을 실행시켜주고, 새로운 케이스 생성을 클릭해줍니다. 케이스 번호와, 케이스 유형, 파일 경로, 스캔한 사람에 대해서 작성해 주고, 증거 소스로 이동해 줍니다. 저는 미리 이미징을 떠두지 않고, 이미징과 동시에 분석을 진행해 보려고 합니다. 아이폰을 연결하고, 위 사진과 같이 증거를 탑재합니다. 아이폰이 탈옥이 되어 있다면, 전체 이미징 기능이 활성화 되있을 것입니다. 하지만 탈옥이 되어 있지 않다면, 빠른 이미징..
[Autopsy] #1 - Autopsy 설치하기
[Autopsy] #1 - Autopsy 설치하기
2020.04.14오늘은 Autopsy 설치 방법에 대해서 알아보도록 하겠습니다! 설치 파일 다운로드는 아래의 경로와 같습니다 https://www.autopsy.com/download/ Autopsy | Download Download Autopsy Version 4.14.0 for Windows Download 64-bit Download 32-bit Download for Linux and OS X Autopsy 4 will run on Linux and OS X. To do so: 3rd Party Modules 3rd party add-on modules can be found in the Module github repository. From this repos www.autopsy.com 본인의 운영체제에 맞..
[백준] 4673 - 셀프 넘버 (파이썬 / C++)
[백준] 4673 - 셀프 넘버 (파이썬 / C++)
2020.04.09general = set(range(1, 10001)) change = set() for i in range(1, 10001): for j in str(i): i += int(j) change.add(i) result = general - change for i in sorted(result): print(i) #include using namespace std; bool selfnum[10001]; int main(void) { memset(selfnum, true, sizeof(selfnum)); for(int i=1; i
[백준] 15596 - 정수 N개의 합 (파이썬)
[백준] 15596 - 정수 N개의 합 (파이썬)
2020.04.09def solve(a): ans = 0 for i in a: ans += i return ans
[백준] 4344 - 평균은 넘겠지 (파이썬) (C)
[백준] 4344 - 평균은 넘겠지 (파이썬) (C)
2020.04.09import sys input = sys.stdin.readline N = int(input()) for i in range(N): list_temp = list(map(int, input().split(' '))) average = sum(list_temp[1:]) / list_temp[0] count = 0 for j in list_temp[1:]: if j > average: count += 1 print(str('%.3f' % round(count / list_temp[0] * 100, 3)) + '%') #include int main() { int num; float sum=0; float count=0; int stu_num; int score[1000]; scanf("%d", &num); ..