[ccibomb@CRG]# _bykim

I. 최근 불법촬영물 · 아동음란물 범죄동향

◦ 최근 불법촬영물·아동음란물의 유포 및 소지자 검거시, 피압수자의 PC에서 μTorrent Web이 활용된 흔적이 다수 발견됨

◦ μTorrent Web은 기존 프로그램(μTorrent Classic) 형식에서 웹 형식으로 바뀐 것으로, 다운로드를 하는 동안에도 스트리밍 형식으로 바로 영상을 볼 수 있음

※ 기존 프로그램은 다운로드 완료시에만 해당 동영상 플레이가 가능한 점에 비추어 볼 때, 앞으로 많은 사용자들이 활용할 것으로 예상됨

II. μTorrent Web 분석방법 공유 필요성

◦ μTorrent Web 개발사(BitTorrent Inc.)에서는 사용흔적을 확인할 수 있는 포렌식 분석 관련 문서는 제공하지 않음

◦ 2019. 10. 10. 현재까지 Google에서 ‘μTorrent Web’ 포렌식 관련 문서 및 웹페이지는 전혀 확인되지 않음(한글, 영문 포함)

◦ 테스트를 통해 μTorrent Web 설치 및 실행시, 남겨지는 아티팩트 등을 역으로 추정하는 방법으로 포렌식을 해야하므로 정보공유가 필수적임

III. μTorrent, BitTorrent의 특징 및 원리

【 μTorrent의 특징 】

◦ BitTorrent P2P 프로그램 중 가장 유명한 토렌트 클라이언트

◦ 윈도우, 맥, 리눅스, 안드로이드 및 탈옥된 iOS에서 사용 가능함

◦ μTorrent를 실행하는 컴퓨터는 외부장치(iOS, Android, USB 메모리 등)와 페어링하여 사용 가능함

【 BitTorrent의 원리 】

◦ BitTorrent는 트래커를 사용하여 클라이언트가 'seed'라는 피어(peer)를 찾을 수 있도록 함

◦ BitTorrent 프로토콜을 사용하면, 하나의 노드에서 파일을 다운로드하는 대신 호스트 풀(swarm)에 참여하여 서로 컨텐츠를 업로드/다운로드 할 수 있음

◦ 파일을 배포하려는 사용자는 먼저 작은 토렌트 디스크립터 파일(.torrent 파일: 오직 메타데이터만 포함됨)을 만들어야 함

◦ .torrent 파일을 BitTorrent 클라이언트에서 불러오면, DHT(Distributed Hash Table) 통신기능을 통해 다른 BitTorrent 노드(피어 또는 seed)들과 연결할 수 있음

◦ 배포되는 파일은 여러 조각들(SHA-1 암호화 해시로 보호됨)로 나뉘는데, 각 조각을 받은 피어들은 다시 해당 조각의 새로운 배포자가 됨

◦ BitTorrent 클라이언트는 완전한 파일을 얻기 위해 어떤 조각들이 필요한지 식별함

◦ 피어가 완전한 파일을 다운로드 하면, 이제 배포 seed가 됨

【 BitTorrent의 투명성 】

◦ BitTorrent는 참가자의 익명성을 보장하지 않음

◦ 연결된 피어들의 IP주소는 클라이언트 유저 인터페이스(User Interface) 또는 Windows의 netstat 명령어만으로도 쉽게 알 수 있음

◦ μTorrent 클라이언트를 포함한 BitTorrent의 표준 포트는 TCP/UDP 6881-6889 포트임(6969는 트래커 포트).

IV. μTorrent Web 분석 (포렌식적 접근)

【 μTorrent Web 기본 설치주소 】

◦ C:\Users\<User_Name>\AppData\Roaming\uTorrent Web\

【 μTorrent Web 구성파일(설정정보 등 저장) 및 로그파일 】

◦ 구성파일들(settings.dat, resume.dat, store.dat)에는 μTorrent Web 설정정보가 저장되며, utweb.log에는 에러로그 등이 저장됨

◦ resume.dat, store.dat는 설치 즉시 생성되나, settings.dat는
μTorrent Web을 실행하여 파일을 1회 다운로드 받으면 생성됨

◦ μTorrent 클라이언트가 종료되면, settings.dat 파일은 백업되고 .bak가 새로운 파일 확장자로 붙으며, store.dat 파일은 dat-journal 파일이 생성됨. resume.dat는 클라이언트가 종료될 때 상태 정보를 저장함

※ μTorrent Web과 달리, μTorrent Classic에서는 dat 파일(resume.dat, settings.dat, dht.dat, rss.dat)에 설정 및 로그 정보가 저장됨. μTorrent Classic 클라이언트가 종료되면, dat 파일들은 백업되고, .old가 새 파일 확장자로 붙음

【 BEncode 에디터를 활용한 분석 】

◦ BEncode(B-encode) : P2P 파일 공유 시스템인 BitTorrent에서 구조화된 데이터를 저장하고 전송하기 위해 사용되는 인코딩 방식

◦ μTorrent Web의 경우, .torrent 파일, settings.dat 파일, .ses_state 파일이 BEncode로 작성되어 BEncode 디코딩 도구를 이용해야 함

※ μTorrent Classic은 구성파일(.dat)들이 모두 BEncode로 작성되어 BEncode Editor로 볼 수 있었으나, μTorrent Web은 settings.dat, .ses_state 외 구성파일(resume.dat, store.dat)이 sqlite로 작성됨

◦ BEncode 디코딩 도구로는 BEncode 에디터* 등이 있음

※ 다운로드 주소 : https://sites.google.com/site/ultimasites/bencode-editor

【 .torrent 파일 분석 by BEncode Eidtor 】

◦ .torrent 파일은 BEncode로 작성되므로 BEncode Editor로 디코딩 하여 확인 가능함

◦ 해당 .torrent 파일에 대한 모든 트래커 사이트의 URL, 파일크기, 파일이름, 토렌트 이름 등이 저장됨

【 settings.dat 파일 분석 by BEncode Eidtor 】

◦ μTorrent Web의 settings.dat 파일은 프로그램 1회실행 후 생성됨

◦ settings.dat 파일은 μTorrent Web의 환경설정 데이터를 저장함

◦ 자동실행 여부, 새로운 다운로드 시 파일저장 위치 등 확인가능함

【 .ses_state 파일 분석 by BEncode Eidtor 】

◦ μTorrent Web의 .ses_state 파일은 μTorrent Classic에서 resume.dat의 peer6 필드 또는 dht.dat(Distributed Hash Table 네트워크에 연결시 필요한 정보가 저장)와 유사한 기능을 하는 것으로 추정됨

◦ nodes(l)[561]에서 ‘561’은 μTorrent Web과 통신하는 피어(peer)들의 총합을 의미하며, 561개의 각 Binary값은 IP주소:Port번호를 의미하는 것으로 판단됨

◦ 예를 들어, 위 nodes(l)의 첫 번째 Binary값인 ‘0x2EB66DBE9609’는 IP주소 46.182.109.190, Port번호 38409를 의미함

【 resume.dat 파일 분석 】

◦ μTorrent Classic의 resume.dat 파일은 BEncode로 작성되어 BEncode Editor로 볼 수 있었으나, μTorrent Web은 sqlite로 작성됨

◦ μTorrent Classic의 resume.dat 파일은 μTorrent 종료시 상태정보를 저장하였음. 예를 들어, 지금까지 다운로드한 파일 크기(bytes), 마지막으로 파일을 공유한 시각 등 각종 시간정보 및 특히 ‘peer6’ 필드 정보*를 저장함

* 연결된 다른 μTorrent 클라이언트들의 IP주소 및 포트번호를 저장하는 필드

◦ μTorrent Web은 Torrent 테이블 내 INFOHASH라는 마그넷 해시 코드(Magnet Hash Code)*만 저장됨

* 토렌트 배포수단에는 위에서 기술한 1) seed 파일을 이용한 방법과 2) 마그넷(magnet) 주소를 이용한 방법이 있음. 마그넷 해시 코드는 마그넷 주소(마그넷 링크)의 주요 구성부분임
(마그넷 주소 예시. magnet:?xt=urn:btih:마그넷 해시코드)

◦ 본 보고서의 .torrent 파일을 마그넷 주소로 변환 가능하며, 역으로 마그넷 주소를 .torrent 파일로 변환도 가능함
(https://grep.kr/torrent 등 온라인 웹사이트를 이용하여 변환 가능)

【 store.dat 파일 분석 】

◦ μTorrent Web의 store.dat 파일은 sqlite로 작성되었으며, μTorrent Classic에서는 없었던 구성파일임

◦ μTorrent Web의 설치시각, 마지막 실행시각 등 확인 가능함

◦ μTorrent Web의 공인 IP주소 확인 가능함

◦ 그 밖에 μTorrent Classic의 resume.dat 파일에 저장되던 시간정보 등이 UNIX Time 형식으로 저장됨
(https://epochconverter.com/ 등 웹사이트를 이용하여 GMT, KST로 변환 가능)

【 μTorrent Web 관련 윈도우 레지스트리 아티팩트 】

◦ μTorrent Web은 기존 μTorrent Classic 클라이언트와는 달리 다음 레지스트리키만 확인됨

◦ IE8부터 쿠키(cookie, 최대 4KB 데이터 저장 가능)의 추가된 기능인 Domstorage(최대 10MB 저장 가능)

◦ 프로그램 실행시 윈도우에서 프로그램 이름등 저장하는 MuiCache

- 토렌트 실행된 경우 아티팩트 확인됨

- 프로그램 이름 및 설치주소 외 시간정보 등 확인 불가함

◦ 마그넷 주소를 이용한 경우 기본 실행프로그램 설정값 저장

◦ 마그넷 주소를 이용한 경우 기본 실행프로그램 커맨드 저장

http://www.ndsl.kr/ndsl/search/detail/article/articleSearchResultDetail.do?cn=DIKO0014449997

효율적인 대면설문 기법 구축을 통한 해커 프로파일링 방안 연구

: 해커의 사회적, 심리적, 기술적 요인에 따른 해킹유형을 예측하기 위한 기초 연구

- 요약 - 

해킹은 익명성, 비대면성, 시공간적 초월성, 피해의 광범위성, 범행의 기술적 전문성이라는 특성과 더불어 연쇄적이고 암수범죄가 많은 특성을 지닌다. 이러한 해킹 범죄에 효과적으로 대처하기 위해 기존의 수사전략을 뛰어넘는 새로운 프레임이 필요하다. 범죄에 대한 효과적인 대응을 위해서는 범죄의 원인, 즉 범죄자들의 특성에 대한 체계적인 이해가 수반되어야 한다. 이를 바탕으로 범죄 대응능력을 강화하고, 범죄예방 및 교화를 위한 정책을 제시할 수 있다. 본 연구에서는 국내·외 범죄학, 사회학, 심리학의 선행연구들을 검토하여 해커에 대한 프로파일링을 위한 설명 요인과 결과 요인을 선정하였다. 선정한 요인들에 대해 적절한 대면설문(Face-To-Face interview, FTF) 문항을 도출한 뒤, 이를 검증하기 위해 범죄전력이 있는 해커들을 직접 만나 심층 인터뷰(In Depth Interview, IDI)하였다. 향후 본 연구의 결과물인 대면설문기법을 활용하여 법집행기관에 검거된 해커들을 대상으로 프로파일링한 뒤 그 결과를 데이터베이스화함으로써, 해킹사건의 범죄수행 방식(Modus Operandi, M.O.)에 따른 해커의 특성을 역으로 추론하여 해커에 대한 추적·검거 역량을 제고하고, 해커의 사회적·심리적·기술적 요인별 맞춤형 예방교육과 교화 프로그램이 도입되기를 기대한다.

- Abstract -

Hacking has raised many critical issues in the modern world, particularly because the size and cost of the damages caused by this disruptive activity have steadily increased. To effectively deal with these hacking crimes, it is required to introduce a new framework for investigation and response procedure. We have to know the nature of the hackers. Based on this, law enforcements can strengthen their ability to respond to hacking crime and suggest a hacker’s rehabilitation policy. This study reviewed previous researches on various aspects(criminology, sociology, and psychology) of cyber criminals, and selected appropriate explanatory factors and outcome factors for profiling hackers. Finally, the hacker face-to-face questionnaire technique was derived. In order to verify the effectiveness of the Hacker’s face-to-face interview technique, in-depth interviewing 4 black-hat hackers was conducted. By using the ftf interview questionnaire tested in this study, the law enforcement can analyze and profile the hackers to identify the social, psychological, and technological factors affecting the attack features. It is hoped that this study aims to improve tracking and arresting capabilities, and introduce efficient intervention programs(prevention education, edification, etc.) appropriate to the type of hacker.

[기술문서] Encase Basic (10.05.08.).pdf

 ○ 목  차 ○

0.   Encase 개요

1.   Encase 설치

2.   Case 관리

3.   Add Device

4.   기존 Case 파일 분석

5.   Encase Concepts

6.   파티션 복구 (Partition Recovery)

6-0. 볼륨 분석 (Volume Analysis)

6-1. 파티션 복구 원리

6-2. 파티션 복구 실습 (4 cases)

7.   웹 히스토리 분석 (Web History Analysis)

8.   파일 시그니쳐 분석 (Signature Analysis)

9.   해쉬 분석 (Hash Analysis)

10.   링크파일 분석 (Shortcut Analysis)

11.   참고문헌

12.   도움주신 분들 

-      이지스원 시큐리티 보안팀장 김 태 일

-      이지스원 시큐리티 연구원   이명수, 주한익

-      경찰수사연수원 사이버 교수 유    현

-      국립 경찰 대학 사이버 교수 장 윤 식

-      육군 사관 학교 사이버 교관 유 정 호

[졸업논문] A Forensic Analysis of the Windows Registry.pdf

요 약

Windows Registry에 남아있는 정보와 잠재적 증거들은 중요한 포렌식 자원이다. 포렌식 관점에서 레지스트리의 원리를 이해하는 것은, 조사관이 해당 시스템에서 어떠한 작업이 이루어졌는지 보다 정확하게 설명하는데 도움이 된다. 이 논문은 흔히 확인하는 로그 파일을 넘어서 추가적으로 레지스트리 조사에 의해, 어떤 종류의 데이터가 찾아질 수 있고 이를 어떻게 찾으며, 이는 포렌식 관점에서 어떤 방식으로 설명될 수 있는지 예시를 들어 설명한다.

ABSTRACT

The data and potential evidences contained in Windows Registry can be the significant forensic resources. Investigators can explain the situation which happened in the system in detail when he or she recognize the fundamentals of the Registry. This report explains what kind of data can be found, how to find them, and how they can be explained in accordance with forensics, by investigating the Registry.

Keywords : 디지털 증거, 레지스트리 분석, 윈도우 포렌식

김범연-A Forensic Analysis of the Windows Registry.pdf

○ 목     차 ○

1.    도입

2.     레지스트리

2-1.    레지스트리 정의

2-2.    레지스트리를 통해 알 수 있는 정보

2-3.    레지스트리의 구성

2-3.1.      HKLM(HKEY_LOCAL_MACHINE)

2-3.2.      HKU(HKEY_USERS)

2-3.3.      HKCU(HKEY_CURRENT_USER)

2-3.4.      HKCC(HKEY_CURRENT_CONFIG)

2-3.5.      HKCR(HKEY_CLASS_ROOT)

2-4.    하이브 파일 (Hive File)

2-4.1.      하이브 파일 (Hive File)의 정의

2-4.2.      레지스트리 하이브 (Registry Hive)의 구성

2-4.3.      HKEY_LOCAL_MACHINE 의 4가지 Hive File

2-4.4.      HKEY_USERS 의 2가지 Hive File

3.       레지스트리를 로그로 활용하기

3-1.    Offline System 레지스트리의 LastWrite time확인 (Encase 이용)

3-1.1.      원하는 레지스트리에 해당하는 Hive File을 찾아간다.

3-1.2.      해당 경로로 찾아가서 오른쪽 버튼 – View File Structure

3-1.3.      Hive File 익스포팅 후 별도의 툴 활용하기

3-2.    어플리케이션 관련 최근 사용 흔적

3-2.1.      최근 실행 목록(MRU lists, most recently used)

3-2.2.      최근 삭제한 목록

3-2.3.      특정 파일, 어플리케이션의 사용자 접근

3-3.    시스템 정보

3-3.1.      USB 장치 (USB Memory, PDA, 핸드폰 등)

3-3.2.      마운트한 장치들

3-3.3.      기타 포렌식 관점으로 주시할 사항

3-4.    네트워크

3-4.1.      무선 네트워크

3-4.2.      로컬 네트워크

3-4.3.      Intelliforms(자동완성기능)

3-4.4.      기타 포렌식 관점으로 주시할 사항

3-5.    웹 브라우져

3-5.1.      인터넷 익스플로러

3-5.2.      Opera

3-5.3.      Netscape, FireFox

3-6.    P2P 클라이언트

3-6.1.      Limewire

3-6.2.      Kazaa

3-6.3.      Morpheus

3-6.4.      기타 국내 P2P 및 웹 하드

3-6.5.      공통 레지스트리 키

3-7.    Messenger

3-7.1.      MSN Messenger

3-7.2.      Nateon

3-7.3.      Yahoo

3-7.4.      AOL Instant Messenger (AIM)

3-7.5.      Windows Messenger

3-8.    Outlook and Outlook Express

4.       레지스트리에서 공격자의 흔적 찾기

4-1.    루트킷 탐지

4-1.1.      도입

4-1.2.      레지스트리 Hives (SYSTEM, SOFTWARE)

4-1.3.      로우 레벨 Data 획득

4-1.4.      Helios 툴을 이용한 Cross-View 탐지

4-1.5.      한계

4-2.    자동실행( Autoruns), 시작 프로그램(Startup) 관련

4-2.1.      일반적인 autuorun locations 목록

4-2.2.      SharedTaskScheduler

4-2.3.      Shell\Open\Command

4-2.4.      ShellServiceObjectDelayLoad(SSODL)

4-2.5.      SYTEM.INI /  WIN.INI File

4-2.6.      ShellExecute Hook

4-2.7.      AppInit_DLL 레지스트리 값 자동 실행

4-2.8.      AppInit_DLLs

4-2.9.      Winlogon Notification Package

4-2.10.     UserInit Key

4-3.    Internet Explorer 관련

4-3.1.      Browser Helper Object (BHO)

4-3.2.      IE Start page/search page/search bar/search assistant URL

4-3.3.      Default URL Searchhook

4-3.4.      IE Options access restricted by administrator

4-3.5.      Extra Items in IE right-click menu

4-4.    기타 포렌식 관점으로 주시할 사항

4-4.1.      Windows Services

4-4.2.      Hidden Resource configuration

4-4.3.      Hosts 파일 (Domain Hijack)

4-4.4.      Regedit access restricted by administrator

4-4.5.      Event Log Restrictions

4-4.6.      URL Default Prefix Hijack

4-4.7.      WinSock LSP (Layered Service Provider)

4-4.8.      가상메모리 파일 자동삭제

4-4.9.      실행 파일을 다른 프로그램으로 연결

4-4.10.     임시 폴더 및 공유 폴더

5.       레지스트리 복구

5-1.    Registry Key Recovery

5-1.1.      레지스트리 키 복구 원리

5-1.2.      레지스트리 키 삭제 매커니즘

5-1.3.      Reglookup-recover을 이용한 삭제된 키 복구

5-2.    Restore Point (RP)

5-2.1.      개요

5-2.2.      설정 상태 확인

5-2.3.      Restore Point 위치

5-2.4.      조사가 필요한 Restore Point 선택

5-2.5.      백업 파일 조사

5-2.6.      백업 레지스트리 조사

6.       Registry Forensic 관련 툴 소개

6-1.    Hijackthis

6-2.       SysinternalsSuits 중 Autoruns

6-3.       Registry Viewer

6-4.       Paraben Registry Analyzer

6-5.       Regripper

6-6.       Regshot

6-7.       Regmon

6.       결론

7.       참고문헌

3. [연구문서] Cybercrime Status and Impacts.pdf

목차

Ⅰ. What is Cybercrime? ................................................................................................................................... 3
1. Definitions ................................................................................................................................................... 3
2. Categories .................................................................................................................................................. 4

Ⅱ. Statistics in countries .................................................................................................................................. 3
1. Australia ..................................................................................................................................................... 3
2. UK ............................................................................................................................................................. 4
3. Uganda ....................................................................................................................................................... 4
4. Korea ......................................................................................................................................................... 5
5. Worldwide (Internet Crime Compliance Center) ............................................................................................... 5

Ⅲ. Impact Researches ..................................................................................................................................... 6
1. Korea ......................................................................................................................................................... 6
2. Foreign(or worldwide) .................................................................................................................................. 6
Ⅳ. Trends and Patterns .................................................................................................................................. 8

Ⅴ. 참고문헌....................................................................................................................................................11

4. [연구문서] Digital Evidence.pdf

* 전자증거와 법과학

가. 전자증거란?
나. 컴퓨터와 법과학수사
다. 전자증거와 물리적 증거
라. 컴퓨터 네트워크에서 발생하는 범죄행위와 전자증거
마. 전자증거의 수집자는?
바. 용어정의

8. [연구문서] E-Discovery.pdf

○ 목 차 ○

Ⅰ. 증거개시제도
1. 도입과 배심재판과의 연관성
2. 증거개시의 근거
가. 민사소송의 경우
나. 형사소송의 경우
3. 증거개시의 법적 성질
가. 검사의 증거개시의무
나. 피고인측의 증거개시의무
4. 한국의 소송법과 Discovery

Ⅱ. 디지털 증거개시제도
1. 디지털증거의 특징과 디지털포렌식
2. 디지털 증거개시의 특수성
가. 수정 필요성
나. 제작형태의 중요성
다. 증거에의 접근가능성
라. 디지털 증거 훼손
3. E-discovery 도입으로 인한 효과
가. 기업적 측면
나. 사회적 측면
다. 법률적 측면
4. 한국과 E-discovery
가. E-Discovery 제도의 도입 가능성
나. 기업과 E-Discovery
다. 판례 정리

Ⅲ. 증거개시제도 효율화를 위한 개선방안
1. 기본방향
2. 비교법적 검토 및 입법론
가. 미국의 경우
나. 일본의 경우
다. 독일의 경우
라. 소결
3. 기술적•제도적 개선방안
가. 디지털포렌식 툴의 국가적 검증기법 개발
나. 전문가 증인(Expert Witness) 육성
다. 디지털포렌식 전문가 인증제 도입

5. [연구문서] 디지털 증거 분석을 위한 Digital.pdf

목차

Ⅰ. 들어가며

Ⅱ. 디지털 포렌식의 의의

1. 디지털 증거와 포렌식
2. 디지털 증거의 특성
3. 디지털 증거분석의 기본원칙

Ⅲ. 디지털 포렌식의 유형
1. 분석 목적에 따른 분류
2. 분석 대상에 따른 분류

Ⅳ. 디지털 포렌식 도구 및 장비
1. 디지털 증거 수집 장비
2. 디지털 증거 분석 도구

Ⅴ. 디지털 포렌식 절차
1. 디지털 증거의 획득
2. 이동과 전송
3. 복제 및 복구
4. 분석
5. 보관 및 분석보고서 작성

Ⅵ. 결어 

 Ⅶ. 참고문헌