공장장과 함께하는 디지털 포렌식 이야기

Forensic Focus를 보니

Logicube 와 더불어 대표적인 이미지 복제 장치 제작 회사인 ICS 에서 이동형 복제기 신제품이 나온다고 합니다.

이동형 복제 장치인 Image MASSter™ Solo-4 는 SAS, SATA, IDE, RAID, USB 및 e-SATA drives 와 함께 다양한  Media cards 들에 대한 사본, DD 및 EnCase E01 이미지 생성도 가능하다고 합니다. E01 기능은 Logicube Forensic Dossier 에서만 가능했던 기능인데 상당히 빨리 따라잡는군요.

특이한 점은 1Gb Ethernet port 도 포함되어서 Network 을 통한 사본 생성도 가능할 것 같습니다. 자세한 내용은 역시 제품이 나와봐야 알 듯 합니다.

그밖에 Drive spanning 이라던가 DoD WIPE 기능 등은 특별한게 없지만 Color LCD 지원은 또 색다르네요. 이러다 AM OLED 지원까지 하려는지...

기대가 되는 제품입니다만 속도에 대한 언급이 없는 걸로 봐서는 기존의 최고 분당 4GB 수준에 머무르지 않을까 하네요.


SOLO 3 IT 와 외관은 어떻게 달라질지도 기대해 봅니다.

Forensic Focus에 올라온 글에 의하면

8월 24일부터 진행되는 HTCIA 에서 AccessData의 FTK 3.0이 전시될 예정이라고 합니다.

성능향상 부분 :

* UI Performance: The FTK GUI is 10 times more responsive across the board, even on machines with only 4GB of RAM.
* Indexing: Indexes quickly and search results populate fast, even with large result sets.
* Distributed Processing: Every copy of FTK 3 comes with 4 workers, allowing you to leverage CPU resources from up to 4 computers (3 distributed workers and 1 worker on the main FTK examiner system).

강력한 새 기능 :

* RAM Analysis: Enumerate all running processes from 32-bit machines, search memory strings, and process RAM captures for passwords, html pages, lnk files and MS Office documents.
* Mac Analysis: Many new capabilities, such as processing B-Trees attributes for metadata, decrypting Sparse Images or Sparse Bundles, PLIST support, SQLite support and more.
* Pornographic Image Identification: Enables the automated detection and identification of pornographic images by analyzing visual features in the image to assess its actual visual content.

아무리 포렌식 조사의 양이 방대해 지고 있다곤 하지만

얘들 너무 무거워지는 거 같습니다. 1.x 버전의 손쉬운 맛은 이제 안드로메다로 가버린듯.

하지만 역시 나와봐야 알겠죠. 설마 어떤 회사처럼 시연회 때 구경만 하게 하지는 않길 바랍니다.

그나저나 EnCase는 UI 좀 안고치나 -_-;;

EnCase Portable 구성품입니다.

윗줄 왼쪽부터

제품 Pouch, 간략 설명서(Brief Manual), 부팅 CD (Booting Disc), 설치 DVD (Installation Disc), USB 동글 (HASP Key), EnCase Portable Program USB (4GB), EnCase Portable Evidence Storage USB (16GB), 4 port USB 2.0 Hub

입니다.

USB 는 우레탄 처리가 되어 어느정도의 충격에도 견딜 것 같은 느낌을 줍니다.

EnCase Portable 은 조사 방법이 두가지 입니다.

1. 활성 시스템으로부터의 증거 수집 ; 메모리 덤프를 뜨거나, FDE 등이 적용된 디스크를 조사할 때 사용됩니다.

2. 비활성 시스템으로부터의 증거 수집 ; 포렌식적으로 "안전"한 증거를 수집할 수 있습니다.

BIOS에서 USB 부팅을 지원하지 않는다면 CD를 이용해서 부팅할 수 있습니다. 이 경우에도 Program USB는 필요합니다.

따라서, 조사 대상은 최소 2개 이상의 USB 포트를 가지고 있어야 합니다.

부팅은 Windows PE 환경에서 작업이 이루어집니다.

활성 시스템에 Program USB를 연결하면 HASP Key 를 찾습니다. 프로그램이 종료되면 드라이버는 제거된다고 합니다.


EnCase Portable이 실행되면 아래와 같은 창이 뜨면서 언제나 처럼 Case 이름과 조사관 이름을 입력한 후 수집 작업을 선택할 수 있습니다.


나머지 사항도 곧...

EnCase Portable 1.1

H/W 솔루션이라고 해야하나 모르겠네요.

부팅CD or 부팅 USB를 이용하여 조사 대상 PC의 중요 데이터에 대한 디지털 증거화 작업을 해줍니다.

디지털 포렌식 전문가가 아니더라도 기초 증거 획득을 "안전"하게 해주는 툴이라고 합니다.

가격이 안드로메다 급이란게 에러. (EnCase Forensics Edition이 포함되어 있습니다.)

 EnCase 6.14.1 기반인듯 합니다..


자세한 리뷰는 곧...

분석을 하다보면 경우에 따라 Registry 중에서도 이 UserAssist 항목이 정말 일종의 꿀단지 역할을 하는데

기본적으로 ROT13으로 Encoding 되어 있어서 별도의 툴이 필요합니다.

물론 EnCase의 Registry Parser 로도 가능하고 기타 여러 EnScript 들도 많이 있습니다만...

쉽고 간단한 Tool 이 있다면 더 좋겠죠.

Didier Stevens 가 최근 UserAssist Tool Version 2.4.3를 공개했습니다.

HashCheck Shell Extension은 상대적으로 최근에 개발된 프로그램입니다.

제작 : Kai Liu (刘锴).  http://www.kailiu.com/contact.xhtml (e-mail을 공개안하는걸 보니 보안에 신경쓰는 듯)

홈페이지 : http://code.kliu.org/hashcheck/

버전 : 2.1.11.1 ( July 1, 2009 )

크기 : 86,528 Bytes (MD5 : B99FF61DEF8125E2178CE6F1F7D6D8C0)

지원환경 : both x86 and native x64

다운로드 : http://code.kliu.org/hashcheck/downloads/HashCheckInstall-latest.exe


라이센스 : BSD Style Free and Open License

소스코드 : http://code.kliu.org/hashcheck/downloads/HashCheckSource-latest.7z


HashTab 과 마찬가지로 문맥메뉴에 체크섬이라는 탭이 생기며 해당 탭에서 Hash 계산 결과를 확인할 수 있습니다.

파일명, CRC-32, MD4, MD5, SHA-1 에 대한 계산값을 확인할 수 있으며

HashTab 과는 달리 현재 다른 알고리즘은 지원하지 않고 있습니다.


HashTab은 두 파일의 Hash 값 계산 비교를 위해서는 각각의 파일에 대한 문맥메뉴를 이용하거나 하나의 파일에 대한 Hash 값을 계산 한 후 다른 파일을 Drag & Drop 해야 합니다.

반면 HashCheck 는 복수개의 파일에 대한 문맥메뉴를 지원합니다.


5개의 파일에 대한 Hash 계산 결과입니다.

하단의 검색메뉴를 통해서 특정 키워드를 찾을 수 있습니다.


또한 문맥메뉴에서 바로 .SFV와 같은 체크섬 파일을 생성할 수도 있습니다.

하나의 파일에 대해 RIPEMD나 SHA-256 등으로 Hash 값을 계산하거나 두개의 파일이 동일한지 여부를 비교하려면 HashTab이, 여러개의 파일에 대해 Hash값을 계산하고 체크섬 파일을 생성하려면 HashCheck 가 유용해 보입니다.

파일 분석시 가장 기초적인 단계가 파일의 특성을 구분하는 것입니다.

간단하게는 확장자와 헤더값을 비교하는 Signature Analysis가 있겠고

그 뒤에 실행 파일 이라면 Packing 여부 및 PE 헤더의 확인, Prefetch 파일의 존재 여부 등이 있을 수 있습니다.

그 중 특정 파일의 중복 및 변조 여부를 확인하기 위해서 CRC 등의 체크섬이나 MD5, SHA1등의 Hash 값을 계산하는 방법이 있습니다.

얼마전 유출된 MS Windows 7의 경우도 각종 해적판이 난무하는 가운데 정식 유출본을 찾는데 이 Hash 값을 이용하라는 글들이 많이 올라왔습니다.

Hash 값을 계산하는 여러가지 프로그램이 있으나 (심지어는 EnCase -_-;; ) 추천하는 프로그램은

이번에 소개할 HashTab과 HashCheck 입니다.

HashTab

제작 : Cody Batt beta@beeblebrox.org

홈페이지 : http://beeblebrox.org/

버전 : 3.0.0

크기 : 799,610 Byte (MD5 : 5845F52D425C75E232B1AD5EE3B189A8)

지원환경 : Windows XP 이상, OSX 10.4 이상

다운로드 : http://beeblebrox.org/HashTab%20Setup.exe (Windows)


               http://beeblebrox.org/hashtab_10.4_universal_1.0.0.dmg.gz (MAC 이라지만 관심이 없다)

라이센스 : Free ( 설치 시 다음의 말에 동의해야 함 : Hash Tab is the coolest thing ever! )


굴러다니는(-_-) ISO 파일에 대한 HashTab 결과입니다.

탐색기 내에서 특정 파일의 문맥메뉴를 이용하면 "파일해시"라는 탭이 생기며 해당 탭에서 Hash 계산 결과를 보여줍니다.


마우스 오른쪽 버튼을 누르면 Copy All 과 설정 메뉴를 선택할 수 있습니다.

이름 그대로 Copy All을 선택하면 Hash 계산 결과가 클립보드에 저장됩니다. 물론 특정 Hash 계산값만 선택하여 따로 복사할 수 도 있습니다.



설정을 선택하면 HashTab에서 계산할 알고리즘을 선택할 수 있습니다. 초기 설정값은 CRC32, MD5, SHA-1 입니다.

지원되는 알고리즘은 다음과 같습니다.

Adler32, CRC32, HAVAL, MD2, MD4, MD5, RIPEMD-128, RIPEMD-256, RIPEMD-320, SHA-1, SHA-256, SHA-384, SHA-512, Tiger, Whirlpool


또한 현재 파일과 다른 파일의 Hash 값을 비교할 수 있습니다.

원하는 Hash 알고리즘을 선택한 다음 비교하고자 하는 파일을 Drag & Drop 하면 됩니다.


MD5 에 맞춰놓고 하면 MD5 값 결과를 보여줍니다. 다른 파일을 비교하였더니 빨간 X 로 값이 다르다는 것을 시각적으로 보여줍니다.


CRC32에 맞춰 놓고 하면 CRC32 값에 대해서 비교를 해줍니다. 계산값이 동일하면 초록색 V 마크가 표시됩니다.

간편하게 다양한 Hash 계산을 할 수 있는 HashTab 입니다.