[ccibomb@CRG]# _bykim

1. X-ways는 포터블 버전으로 설치없이 실행 가능하다.

Setup.exe는 단순히 전체 파일을 Program Files 내 복사 후

바탕화면에 링크파일 생성해 주는게 전부이므로,

굳이 설치할 필요가 없다.

2. X-ways 설치폴더 안에 Viewer 컴포넌트 파일 전체를 옮긴다.

뛰어난 확장성이 있다.

같은 폴더 내에만 들어있으면 알아서 기능을 확장한다. 

3. 마찬가지로, X-ways 설치폴더 안에 Mplayer 프로그램 파일 전체를 옮긴다.

c.f) x-ways 실행파일을 winhex.exe로 파일이름만 변경하면,

winhex로 실행가능하다.

즉, 포렌식 버전이 아니므로 바이너리 데이터들까지 편집 가능하다.

[해시함수의 형사법적 고찰] 동일성 입증 수단으로서 해시함수의 안정성

<해시함수의 특징>

해시함수는 데이터를 압축하는 성질(Compression, 압축성)과

계산을 쉽게 할 수 있다는 성질(Ease of computation, 용이성)을 가진다.

여기에 역상 저항성(Preimage Resistance : h(x)=y를 만족시키는 임의의 역상 x를 찾는 것이 불가능),

제2역상 저항성(2nd-Preimage Resistance : h(x)=h(x')을 만족시키는 x와는 다른 x'를 찾는 것이 불가능),

충돌 저항성(Collision Resistance : h(x)=h(x')를 만족시키는 임의의 x, x'를 찾아내는 것이 사실상 불가능)

을 만족해야 한다.

* 이상진(2015). 디지털포렌식개론(개정판). 이룬출판사, 285

<디지털증거의 동일성 입증 수단으로서의 해시함수>

디지털증거의 동일성 입증은 해시함수의 특징 중,

'제2역상 저항성'의 성질을 이용하는 것이다.

즉, 디지털증거 x를 해시함수 h에 입력하여 해시값 y=h(x)를 생성했을 때

h(x)와 동일한 해시값을 갖는 다른 디지털증거 x′를 찾는 것이 어렵기 때문에

원본과 사본의 해시값이 같으면 동일성을 인정하는 것이다.

해시함수가 동일성 입증 수단으로서 불안전하다는 논거는,

디지털증거의 동일성 입증에 사용되는 해시함수의 '충돌 저항성'이

공격당하였다는 데 중점을 두고 있다.

이러한 수학적 안정성에 대한 우려는 충분히 할 수 있으나,

아직까지 '제2역상 저항성'까지 취약하다고 볼 근거는 없다.

'충돌 저항성'이 공격당한 MD5, SHA-1 해시함수라 하더라도,

법정에서 제2역상 저항성 공격으로 해시값이 똑같은 다른 증거가 제시되거나

그로 인하여 증거능력이 부정된 사례도 없다.

(법정에서 인정하는 해시함수의 안정성은 수학적 안정성과 일치하지 않는다)

따라서 디지털포렌식에서 MD5, SHA-1의 사용을 폐기하고

SHA-256과 같이 안전성이 높은 해시함수를 사용해야 하거나

MD5나 SHA-1을 단독으로 사용하지 않고

복수 이상을 사용하여야 한다는 주장은 성급하다.

이에 우리나라를 비롯하여 미국 등 다수의 국가에서 MD5, SHA-1을 여전히 사용하고 있다.

출처 논문 : 김기범(2018). 해시함수의 형사법적 고찰. 형사정책연구, 29(2), 199-225

http://policy.nl.go.kr/cmmn/FileDown.do?atchFileId=228149&fileSn=69580

[해결방법] 아이폰 사진 동영상 오류 없이 컴퓨터로 옮기기

아이폰의 카메라 성능은 참 좋고, 보안도 뛰어나 여러 해 사용하고 있지만,

치명적인 단점이라고 생각되는 PC와의 호환성 문제가 큰 스트레스를 주곤 한다.

아이튠즈는 여전히 불편하고(동기화로 인한 사진 날리기..),

iCloud도, 카카오톡을 이용한 사진백업도 여러모로 불편하다.

USB케이블을 통해 사진을 한번에 옮기려고 하면, 수시로 뜨는 '오류창'에 넌덜머리가 나기 일쑤다.

USB케이블로 윈도우 운영체제와 멋지게 호환되는 안드로이드와는 너무도 차이가 난다ㅜ

오류 메시지.. 

"장치에 연결할 수 없습니다"

그리고

"원본 파일이나 디스크에서 읽을 수 없습니다"

고민 끝에 해결했다..

번거롭지만, 그래도 수십번에 걸쳐 USB케이블을 꽂았다 뺐다,

컴퓨터를 껐다 켰다 하는 것보다는 훨씬 나은 것 같다.

1. "장치에 연결할 수 없습니다" 오류창 해결방법

제어판 - 장치 관리자 - 범용 직렬 버스 장치 - Apple Mobile Device USB Composite Device 제거 - 컴퓨터 재시작

(다시 아이폰을 연결하면 드라이버 재설치하므로 걱정하지 말고 제거)

아이폰 재부팅 후, PC에 USB케이블로 연결하면,

드라이버를 자동으로 재설치하고 인식이 된다.

이를 해결한 후에도 복사 중 수시로 멈춰버리는,

심지어 PC를 껐다켜야 해결되는

"원본 파일이나 디스크에서 읽을 수 없습니다" 오류창을 해결해보자.

2. "원본 파일이나 디스크에서 읽을 수 없습니다" 오류창 해결방법

그 원인을 이번에야 알았다.

바로 애플에서 호환성을 포기하고

품질과 저장공간의 고효율만을 위해 선택한 사진포맷 'HEIF' 때문이었다.

H.264 보다 상위 버전인 H.265 코덱을 이용한 압축기술을 이용한다.

같은 화질에서 용량이 절반 정도라고 하니 아주 좋으나,

문제는 아직 애플만 사용하고, MS의 윈도우10에서는 지원이 안된다는게 문제다.

윈도우10에서 HEIC 이미지파일은 보이지 않는다. 

MS스토어에서 "HEIF 이미지 확장" 플러그인을 설치해야만 볼 수 있다.

하지만 플러그인을 설치해도 볼 수만 있지, 편집 및 변환은 불가능하다.

그런데 어떻게 우리는 아이폰 카메라로 찍은 사진들을, 

안드로이드를 사용하는 친구들에게 카카오톡으로 보내고,

iCloud에 올리고, SNS에 업로드하고, 

오류가 많이 나긴 하지만 그래도 USB케이블을 이용해서 컴퓨터에 옮겼던 것일까.

전송하는 순간 아이폰에서 HEIC 파일을 JPG 파일로 변환(인코딩)한다는 점이다.

이 때문에 여러개의 파일을 전송시, 수많은 오류가 났던 것으로 보인다.

앞으로라도 아이폰 카메라가 HEIC 파일이 아닌 JPG 파일로 사진을 저장하기 바란다면,

다음과 같이 설정을 해주면 된다.

설정 - 카메라 - 포맷 - 카메라 캡처 - 높은 호환성(JPG) (Default = '고효율성(HEIC)')

이미 저장된 HEIC 파일을 JPG 변환없이 컴퓨터로 전송하려면 다음과 같이 설정을 해주면 된다.

"설정 - 사진 - MAC 또는 PC 전송 - 원본 유지 (Default = '자동')"

그러면 아주 잘 복사가 된다. 

어떠한 오류도 없이 한번에 모든 사진과 동영상 파일이 아이폰에서 컴퓨터로 복사된다.

문제는 윈도우10에서 HEIC 파일을 볼 수 없다는 것..

프로그램을 이용하여 JPG 파일로 변환해주면 된다.

번거롭게 보이지만 생각보다 한번에 작업이 이루어지고, 변환작업도 복사하는 시간정도 걸린다.

내가 이용한 프로그램은 iMazaing HEIC Converter 이다.

(다운로드 : https://imazing.com/heic)

사용법은 매우 직관적이고 간단하다.

프로그램을 실행하고 변환하고자 하는 HEIC 파일을 Drag & Drop 하면 된다.

한번에 여러개의 HEIC 파일을 JPG 또는 PNG 파일로 변환해준다.

변환된 JPG/PNG 파일을 저장할 폴더만 지정해주면 된다.

디지털 카메라에서 이용하는 이미지 파일 포맷인 'EXIF data'도 그대로 유지할 수 있어,

카메라 제조사, 카메라 모델, 회전 방향, 날짜와 시간, 색 공간, 초점 거리, 플래시,

ISO 속도, 조리개, 셔터 속도, gps 등의 정보도 모두 유지 가능하다.

이와 관련, 모바일 포렌식에서는 어떻게 해결하고 있는지 확인해보니..

한컴GMD 모바일 디지털포렌식 솔루션 등을 이용하면 이미 자동으로 해결해주고 있었다.

이미징 후 데이터 추출시 자동으로 HEIC -> JPG 변환을 해주고 있었다.

분석할때 불편이 없으니, 인지하지 못하고 있었던 것..

[Teamviewer Quicksupport] 팀뷰어 퀵서포트 사용법

최근 보이스피싱 범죄에 강제발신변작 기능이 있는 악성 앱 외에도

스마트폰용 원격제어 프로그램인 Teamviewer Quicksupport가 이용되고 있다.

'금융감독원' 또는 '검찰청'이라고 사칭하며 전화하여,

구글 플레이스토어 등 정식 앱스토어에서 'Teamviewer Quicksupport'를 설치하게끔 유도한다.

그 이후 백신 프로그램(예: 경찰청 제작 폴-안티스파이 2.1)을 사칭한 악성 앱을 인터넷에서 다운로드 받아 설치하여,

전화번호와 문자메시지, 통화기록, 앱 설치 등 모든 권한을 가지고

피해자들을 농락하는 것이다.

(최근 보이스피싱 범죄에 많이 이용되고 있는 악성 앱들은 강제발신변작 기능이 포함되어 있다.

이러한 악성 앱이 설치되는 경우 감염된 스마트폰을 이용하여

특정 전화번호(예: 금융감독원 1332, 경찰청 112, 국민은행 1599-9999 등)로 확인전화를 하더라도

악성 앱 제작·유포자가 원하는 다른 전화번호(예: 보이스피싱 범죄조직의 일명 콜센터 070-xxxx-xxxx)로

발신이 전환된다.

즉.. 그 스마트폰으로는 경찰, 은행, 검찰, 금융감독원 어디에 전화를 하더라도,

보이스피싱 조직 콜센터에서 응대를 하게 되는 것이다.)

우선, Teamviewr Quicksupport를 사용해보아야 로그를 이해하기 수월하므로 테스트를 해보았다.

<Teamviewr 프로그램 설치 - PC>

팀뷰어 사이트(https://www.teamviewer.com/ko/)에 접속해서 팀뷰어 최신버전 다운로드받아 설치하면 된다.

설치하면, 다음과 같은 화면이 뜬다.

개인정보를 기재하는 회원가입 없이도 부여된 ID로 이용할 수 있다.

아래 테스트환경에서 Teamviwer PC버전의 ID는 좌측 화면에서 확인 가능한 '1 246 059 329'이다.

우측의 Partner ID에 스마트폰에 설치한 Teamviewer Quicksupport의 ID만 넣어주면 원격접속 끝이다.

매우 간단하다. 그래서 범죄에도 이용이 많이 되고 있다고 생각된다..

※ 참고: PC버전에 설치한 Teamviewer는 로그상 Server라고 하고,

접속대상인 스마트폰은 Client라고 한다. 

<Teamviewr Quicksupport 설치 - 스마트폰>

구글 플레이스토어나 통신사별 앱 스토어에서 'Teamviewr Quicksupport'를 다운로드 받아 설치하면 된다.

원격제어를 위해 애드온을 설치해주어야 한다.

그러면 원격제어 프로그램 Teamviewre Quicksupport를 이용할 준비가 끝났다.

PC의 'Partner ID' 입력창에 스마트폰에서 확인된 ID '1245 819 360'을 입력해주기면 하면 된다.

그러면, 이제 컴퓨터에서 스마트폰을 원격제어하거나,

다른 모바일 기기에서 스마트폰을 원격제어할 수도 있고,

양방향간 파일 전송도 가능하다.

<PC에서 스마트폰에 원격제어 요청>

컴퓨터에서 스마트폰에 원격접속을 요청하면,

스마트폰에서 이를 허용해주어야 한다. 

사용자 모르게 이 권한을 획득할 수는 없기 때문에 보이스피싱 범죄에서 전화로 피해자를 속이는 것이다.

<PC에서 스마트폰 원격제어 성공>

PC에서 스마트폰 원격제어 성공시,

다음과 같이 연결에 성공하였다는 메시지가 현출되고,

PC와 스마트폰 간에 채팅방으로 대화가 가능하다.

이 때, 현출되는 메시지인 '화면 공유 작동 중'을 기억해둘 필요가 있다.

Teamviewer Quicksupport 로그에도 해당 문구가 남기 때문이다.

PC버전에서 스마트폰의 화면을 공유받아서 확인이 가능하고, 모든 제어가 가능하다.

Dashboard 메뉴에서는 스마트폰의 모든 기기정보(네트워크 정보 포함) 확인이 가능하다.

스마트폰과 PC간 채팅을 시도해 보았다.

PC와 스마트폰간 파일 전송을 위해서는 한번 더 권한 허용을 해주어야 한다.

Apps 메뉴에서는 설치된 앱 확인 및 삭제까지 가능하다.

Settings 메뉴에서는 네트워크 설정확인이 가능하였다.

원격으로 카메라 제어도 가능하다.

파일관리자에서 모든 파일에 대한 접근도 가능하고,

특히 다운로드 받은 apk 파일을 설치할 수도 있다.

아래는 '경찰청 폴-안티스파이 2.1 사칭' 악성 앱(cyber.apk)을 설치하는 화면이다.

※ 참고로 위 악성 앱은 2019. 3. 14.자로 업데이트 된 '경찰청 폴-안티스파이 3.0'에서 탐지된다.

다음 포스팅에서 Teamviewer Quicksupport 로그분석을 함께 고민해보자. 

[블랙박스 포렌식] 지넷시스템 차량용 블랙박스 PC뷰어 설치 이슈

지넷시스템의 차량용 블랙박스 내용을 컴퓨터에서 확인하기 위해,

PC에서 블랙박스 메모리카드에 기본으로 저장되어 있는 PC 뷰어(3.8.1.5 이하 버전)를 설치시

아주 큰 이슈가 있다.

설치 경로 이하의 모든 파일과 폴더를 삭제해버린다는 것이다.

(휴지통으로 들어가는게 아니라, 일반 사용자는 복구하기 힘들다..)

설치 기본 경로는 "C:\Program Files\지넷"이나,

이를 만약 변경하여 C:\ 또는 D:\ 등으로 지정시, 하위 경로에 있는 모든 파일과 폴더가 삭제된다.

아주 큰 문제라고 생각된다.

이 문제를 해결한 통합 뷰어 3.9.1.0이 배포된 것은, 2018. 6. 11.이다.

블랙박스 특성상 이용자들이 업데이트를 잘 하지 않는 것을 고려하면,

앞으로도 상당기간 이 문제로 당황스러워할 사람들이 많을 것 같다.

블랙박스 분석을 하시는 분, 혹은 해당 모델 블랙박스를 이용하시는 분들은 주의하세요..

# 지넷시스템의 관련 공지사항: http://www.gnetsystem.com/sub3/sub1.php?id=329&mode=read

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Forensics Rodeo (디지털포렌식 퀴즈대회)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 개최시간 : 19:30 ~ 23:30　

  ◦ 웹사이트 : https://www.dfrws.rodeo

  ◦ 대회방법 및 후기

     - Forensics Rodeo는 DFRWS 학술대회 중 매년 개최되는 디지털포렌식 퀴즈대회임

     - 저녁식사 이후 University Place Hotel 1층 식당에서 개최하였으며 자율적으로 5명 이상의 참가자로 팀을 결성하고 팀별 계정을 부여받음 (필요시, 주최측에서 팀 조정)

     - 사이버보안 관련 공격방어대회의 형식인 CTF(Capture The Flag) 중 문제풀이 방식(Jeopardy)으로 진행됨

     - 주최측에서 알려준 웹사이트에 팀별 계정으로 접속하여, 문제를 확인하고 정답을 기재하는 방식임

     - 웹, 포렌식, 암호, 바이너리 분석 등 카테고리에서 문제 또는 과제를 해결하도록 요구하며, 문제를 풀때마다 점수가 부여되고, 복잡한 문제일수록 더 높은 점수가 부여됨

     - 대형화면에 팀별 실시간 점수와 순위가 공개되고, 대회종료 1시간 前 각 문제별 힌트가 주어짐

     - 우승자에게는 소정의 상품을 제공하며 대회가 끝나면 각 문제에 대해서 출제자 및 정답자가 문제풀이 발표를 함

     - 23:30까지 대회가 진행됨에도 많은 인원들이 적극적으로 참가하며 열의를 보임

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ DFRWS Forensic Challenge Presentation

  ◦ 주 제 : DFRWS 디지털포렌식 챌린지 2018-2019 문제풀이

  ◦ 발표자 : 국민대학교 금융정보보안학과 DF&C 박은후 연구원

  ◦ DFRWS Forensic Challenge 2018-2019 개요

     - 연혁 : DFRWS 2005부터 매년 개최되는 공모전

       ※ 다양한 주제와 시나리오를 통해 디지털포렌식 기술 발전에 기여

     - 우승 : 국민대 금융정보보안학과 DF&C 소속 연구원 7명

     - 진행과정 : △ 시나리오와 문제가 제시되며, △ 보고서 및 분석도구를 결과물로 제출함

     - 시나리오 : △ 불법마약 연구실 습격받아 화재가 발생함, △ 경찰과 디지털포렌식 분석관이 현장 출동함, △ 불법마약 연구실 소유주 ‘Jessie Pinkman’은 행방묘연함, △ 경찰은 연구실 동료인 ‘D. Pandana’와 ‘S. Varga’ 심문하였으나 범행 부인함, △ 현장에는 IoT보안시스템이 설치되어 있으며, ‘Jessie Pinkman’은 실내에서 항상 “Home” 모드로 설정함

     - 문제요약 : △ 연구실 습격시각은 언제인가? △ 동료 중 습격에 가담한 사람은 누구이며, 증거는 무엇인가? △ Qbee카메라는 어떻게 망가졌는가?

     - 분석증거물 : Galaxy S6 edge, iSmart Alarm, Alro Camera, Wink Hub, Amazon Echo, Smarthome Network Capture

     - 분석결과 : ELK Solution(Elasticsearch, Logstash, Kibana)를 활용하여, 각 증거물로부터 추출한 이벤트 로그를 시각화하여 타임라인을 분석한 점이 인상깊었음

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 3

     - 주제 : 포렌식툴 및 검색방법에 따른 상이한 결과현출 가능성
      (원제 : Forensic String Search Tool Quirks or What I Learned Testing String Search Tools)

     - 발표자 : James Lyle

     - 발표내용

       △ 동일한 포렌식 도구를 사용하여 동일한 이미지를 탐색시에도, 라이브탐색 결과와 인덱싱결과가 항상 같지는 않음

       △ 특히 유니코드 문자열 및 일련의 사회보장번호 등을 검색하는 경우, 툴의 종류 또는 검색방법에 따라 결과가 다름

     - 시사점 : 교차분석(다른 포렌식툴 활용) 의무화 방안 등 검토 필요

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 2

     - 주제 : 키워드 검색의 대안, ‘개념적 검색(Concept Searching)’ 기법
      (원제 : Not Your Father’s Forensics: Concept Searching for Data Forensic Investigations: Uncover what keywords miss)

     - 발표자 : Warren G., Robert Kruse

     - 발표내용

       △ 부자(父子) 관계의 디지털포렌식 실무가들이 단순한 키워드 검색이 아닌 개념적 검색 기법의 필요성을 발표함

       △ 모든 유형의 범죄를 수사 과정에서 디지털포렌식 분석이 필요한 데이터의 양은 폭발적으로 증가하고 있음

         ⇒ 데이터 양이 증가할수록, 대량의 통신과 정보를 신속하게 분석하기 위한 방법, 기술 및 프로세스가 필요함

       △ 키워드 검색은 오탈자, 동의어, 다의어, 방언, 은어 등으로 인해 결과에 오류 또는 누락이 발생할 가능성이 높음

       △ 개념적 검색은 단순히 ‘키워드’의 일치를 이유로 모든 정보를 추출/확인하는 것이 아니라, ‘개념적으로 일치’하는 정보를 빠르고 효율적으로 검색하는 것을 말함

       △ 키워드 검색이나 메타 검색과는 달리, 쿼리(Query)와 문서간 개념적 일치를 보여주므로, 중요 ‘개념’에 대한 집중분석 가능

     - 시사점

       △ ‘살인, 강도, 마약’ 등 수 개의 키워드가 포함된 정보 전체의 추출을 하는 경우, 다수의 관계없는 정보까지 추출되거나 관계 정보가 누락되는 경우가 발생할 우려가 있음

       △ 사건유형 또는 개념(Concept)별 키워드 수집을 통해 Data Set 마련하여 증거분석시 활용할 필요가 있음

         ⇒ 같은 Concept에 해당하는 키워드를 수집하고, 각 키워드와 Concept간 상관정도를 수치화하는 등 개념적 관련성에 대한 심층연구 필요

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Cognition, Introspection, & Perception

  ◦ 좌 장 : Matthew Geiger (Qintel)

  ◦ 발표 1

     - 주제 : 인간행동 정보를 활용한 유효계정의 정상접속 여부 판단
      (원제 : Detection of Lateral Movement Across Valid Accounts by Using Human Behavior in the Physical Environment)

     - 발표자 : Tomohiko Yano

     - 발표내용

       △ 정보통신망침해 범죄에 있어, 공격자가 정상적인 계정을 이용하여 시스템에 로그인한 경우가 많음

       △ 로그온 이벤트에서는 컴퓨터 이름과 계정 이름에 대한 정보만 확인 가능하므로, 해당 계정이 정당한 권원이 있는 사용자의 정상적인 접속인지 판단이 불가함

       △ 이에 대한 해결책으로, ① 사용자의 PC 앞에 거리센서를 설치하여 온/오프에 따라 정상접속 여부 판단, ② 로그온 前後 키 스트로크(Key stroke) 이벤트를 활용하는 방안을 제시

       △ 시뮬레이션 연구를 통해 제안한 방안을 활용한 공격자의 비정상접속 여부 검출율을 평가함