공장장과 함께하는 디지털 포렌식 이야기

You want to make a keyword or search expression to find an any IP address except private IP adresses.

GREP will help you in this case.

Since private IP addresses belong to the ranges:

Yeeaaah!

종사자 분들은 다 아시는 내용이겠지만 공개된 장소에서 불특정 다수를 대상으로 하는 디지털 포렌식 기술 세미나는 좀 민감한 부분이 있을 수 있지 않나 생각해 봅니다.

또한 동일한 주제를 어떤식으로 강의하는지 궁금해지기도 하네요.

신청 (데브피아 가입이 필요합니다)

신문기사

정부의 정책(?) 탓인지 연일 정보보호 및 디지털 포렌식과 관련된 기사가 언론을 통해 공개되고 있습니다.

물론 저도 그렇게 공개된 기사를 통해 정보를 얻고는 하지만

가끔 몇몇 기사를 보면 수사기법을 너무 자세하게 공개하는 것이 아닌가 하는 생각이 들때가 많습니다.

마치 이렇게 찾을 수 있으니 이렇게 피해가라 라는 식의 Anti Forensic 을 장려(?)하는 느낌도 받는 것은 너무 유별난 생각일까요?

국민의 알권리와 범죄자에게 악용될 수 있는 정보의 제한적 공개에서 아슬아슬한 줄타기가 필요할 듯 합니다.

포렌식 수사 도중 HDD의 제조사, P/N 및 S/N 뿐 아니라 제조일자도 참조해야 하는 경우가 생기곤 합니다.

일반적으로는 HDD Label에 제조일자가 표기되어 있지만

Seagate의 경우 Date Code라는 형태로 되어 있어 한눈에 알기 어렵습니다.


첨부된 사진의 경우 Date Code가 04102로 되어있는데 2004년 10월 2일 일까요? 아니면 2004년 1월 2일? 혹은 2002년 4월 10일?

Datecode를 해석하는 방법은 다음과 같습니다.

Date Code Shape: YYWD or YYWWD * YY: fiscal year, beginning on the 1st Saturday of July YY-1 * W[1-9] or WW[10-52]: fiscal weeks from 1st Saturday of July YY-1 * D: days from the beginning of week WW (weeks run from Saturday to Friday)

따라서 Date Code 04102는 회계년도 04년 10번째 주 두번째 요일에 생산된 제품임을 나타냅니다.

결국 2004년 7월 첫번째 토요일부터 10주 후의 두번째 요일인 2004년 9월 7일 일요일에 생산된 제품인 것입니다.

여기 몇가지 예를 더 들어 볼까요?

03242 ☞ 회계년도 03년 24째 주 두번째 요일 ☞ 2002년 12월 15일 일요일
0613 ☞ 회계년도 06년 첫째 주 세번째 요일 ☞ 2005년 7월 4일 월요일

다음의 Link를 통해 손쉽게 해석이 가능합니다 ☞ Bugaco

Google에서 검색하면 찾을 수 있는 별도의 Utility를 이용할 수도 있습니다.



이 Datecode 뿐 아니라 PCB의 부품을 통해서도 생산연도를 확인할 수 있습니다.

아래는 ST3120026A의 PCB 사진입니다. 누르면 커집니다. 원본출처 : longdata.ru


삼성의 메모리 칩 p/n K4S641632F-TC60 의 우측 상단에 340이라는 Date Code가 있습니다. ☞ 2003년 40주째 생산품입니다.

ST Micro의 MCU에는 F995Y0341 이라는 Data Code가 있습니다. ☞ 2003년 41주째 생산품입니다.

ST Micro의 BUX Diode에는 C335라는 Date Code가 있습니다. ☞ 2003년 35주째 생산품입니다.

ON Semiconductor의 NTF6P02T3 (F6P02) 에는 R39라는 Code가 있습니다. ☞ 지역코드 R에서 39번째 주에 생산된 제품입니다.

이같은 정황으로 볼 때 이 ST3120026A에 장착된 PCB는 2003년 41주, 혹은 그 이후에 생산되었음을 알 수 있습니다.

디지털 부품의 생산시점 및 장착시점은 포렌식 분석에 중요한 영향을 미치기도 합니다.

HDD 내의 F/W를 확인해도 가능하지만 이것이 힘들 경우, 제품 Label 뿐 아니라 부품 표면에서도 이러한 생산일자를 찾을 수 있는 표식들이 많이 있으며, 이러한 표식들을 조합하여 유의미한 정보로 산출하는 것이 디지털 수사관의 몫이라 할 수 있겠습니다.

Windows System Forensics 에서 중요한 OS Artifacts 중 하나는 .evt 형식을 가지는 Windows Event Viewer Log file 입니다.

자신의 시스템에서는 관리도구 -> 이벤트 뷰어, 혹은 실행 -> eventvwr.msc 로 접근가능합니다.

이전다음

01

XP 시스템에서는 응용 프로그램, 보안, 시스템에 대한 로그를 확인할 수 있습니다. 단 보안항목은 기본적으로는 기록되지 않습니다.

이전다음

012

Windows 내장 Event viewer 는 개별 .evt 파일도 확인할 수 있지만 다른 시스템에서 복사한 .evt 파일을 보려고 하면 이벤트 로그 파일이 손상되었다는 메시지와 함께 내용을확인할 수 없게 됩니다.

이전다음

012

따라서 본인의 시스템이 아닌 다른 시스템의 이벤트 로그를 확인하기 위해서는 EnCase의 Event Log Parser EnScript 등과 같은 외부 Tool을 사용하게 됩니다.

Windows의 내장 Event Viewer를 사용하기 위해서는 .evt 파일을 Hex Editor 등으로 수정해줘야 합니다.

그중 가장 간단한 방법은 fixevt 라는 tool 을 사용하는 것입니다.

사용형식은 다음과 같습니다.

#fixevt eventfile.evt


실행 후 repaired 라는 메시지가 나오면 완료된 것입니다. 이후 개별 .evt 파일을 Windows Event viewer 에서 확인하실 수 있습니다.

fixevt 라는 간단한 Tool을 이용하여 offline event log file 을 내장 event viewer로 확인하는 방법을 확인해 보았습니다.

Vista에서는 Shadow Volume Copy 라고 해서 XP의 Restore Point와는 다르게 상당한 양의 문서도 백업을 해놓는다.

System Information Folder에서 그래픽 파일도 찾을 수 있다는 얘기

보통 파일이름은

Name{5fb8d4db-e92c-11dd-8b61-00214fb3e2f2}{3808876b-c176-4e48-b7ae-04046e6cc752}

이런식으로 발견된다.

그렇다면

C:\Users\<username>\AppData\Local\Microsoft\Windows\Explorer

로 찾아가서

Thumbnail DB를 마운팅 해본다.

빙고!