[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Forensics Rodeo (디지털포렌식 퀴즈대회)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 개최시간 : 19:30 ~ 23:30　

  ◦ 웹사이트 : https://www.dfrws.rodeo

  ◦ 대회방법 및 후기

     - Forensics Rodeo는 DFRWS 학술대회 중 매년 개최되는 디지털포렌식 퀴즈대회임

     - 저녁식사 이후 University Place Hotel 1층 식당에서 개최하였으며 자율적으로 5명 이상의 참가자로 팀을 결성하고 팀별 계정을 부여받음 (필요시, 주최측에서 팀 조정)

     - 사이버보안 관련 공격방어대회의 형식인 CTF(Capture The Flag) 중 문제풀이 방식(Jeopardy)으로 진행됨

     - 주최측에서 알려준 웹사이트에 팀별 계정으로 접속하여, 문제를 확인하고 정답을 기재하는 방식임

     - 웹, 포렌식, 암호, 바이너리 분석 등 카테고리에서 문제 또는 과제를 해결하도록 요구하며, 문제를 풀때마다 점수가 부여되고, 복잡한 문제일수록 더 높은 점수가 부여됨

     - 대형화면에 팀별 실시간 점수와 순위가 공개되고, 대회종료 1시간 前 각 문제별 힌트가 주어짐

     - 우승자에게는 소정의 상품을 제공하며 대회가 끝나면 각 문제에 대해서 출제자 및 정답자가 문제풀이 발표를 함

     - 23:30까지 대회가 진행됨에도 많은 인원들이 적극적으로 참가하며 열의를 보임

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Lunch and Posters (프로젝트 관련 자유로운 의견교환)

◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

◦ 주 제 :

1. Safer Viewing Platform(SVP) Research Project
2. Magnet Digital Forensic Tool ’AXIOM’
3. Database Forensics: Where the Wild Things Are
4. Training New Digital Forensics Practitioners Using the Artifact Genome Project

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 1

    ※ 기존 프로그램상 2019. 7. 15. ‘Presentations: Access & Accessibility’에서 발표 예정이었으나, 2019. 7. 16. 첫 발표로 변경됨 (화상발표)

     - 주제 : 극심하게 손상된 기기 내 저장된 디지털정보의 복원
               (원제 : Extreme Damaged Devices Presentation)

     - 발표자 : Steve Watson (VTO Labs)

     - 발표내용

       △ 손상된 스마트폰 등 복원/분석 성공사례 위주의 발표를 진행하였으나, 구체적인 분석/복원 방법은 다루지 않음

       △ 발표사례 : 필로폰에 적신 장치, 폭발한 장치, 혈액에 적신 장치, 물속에 장기간 침수된 장치의 데이터수집 성공사례

       △ 피에 잠겨있는 디지털 기기의 분석을 테스트하기 위해 VTO Labs의 연구원이 체혈을 하는 등 다양한 Case에 대응하기 위한 노력을 하고 있음

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 3

     - 주제 : 여성 대상 디지털포렌식 온라인 교육 프로그램 소개
               (원제 : Introducing Digital Forensics Science in a Virtual Learning Environment)

     - 발표자 : Daryl Pfief (Cyber Sleuth Science Lab, Digital Forensic Solutions)

     - 발표내용

       △ CSSL(Cyber Sleuth Science Lab) 소개 : 여성, 학생 대상 디지털 포렌식, 사이버 보안에 대한 개념과 지식, 기술을 교육하기 위해 만들어진 연구단체 (가상학습 환경 지원)

       △ CSSL은 美 국가과학재단(National Science Foundation)에서 지원을 받는 파일럿 프로젝트로서, Digital Forensics Solutions와 The National Girls Collaborative Project와 협력하고 있음

       △ CSSL은 목표 기반 조사 시나리오를 통해 문제해결 기술을 가르치는 것에서 IDLE(Python을 위한 통합개발환경)을 확장함

       △ 볼티모어와 뉴올리언스의 고등학생들을 대상으로 시범운영되어 왔으며, 올해 시애틀로 확장될 예정임

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 1

     ※ 기존 프로그램상 Steve Watson(VTO Labs)의 ‘Extreme Damaged Devices Presentation’이 연기됨에 따라, 예정에 없던 발표로 대체 진행됨

     - 주제 : 학교의 사이버위협  (원제 : School Cyber Risk & Challenges for Community Oriented Policing, Crime Prevention and Investigation)

     - 발표자 : Nicholas

     - 발표내용

       △ 학교의 많은 시스템들은 오래되었고, 더 이상 업데이트가 되지 않는 Windows XP 운영체제를 사용하는 경우가 54%에 해당됨(2017년 기준)

       △ 관리되지 않는 컴퓨터, 서버, 프린터 등은 해킹 공격의 온상이 됨

       △ 학생들의 개인정보를 이용하여 피싱공격 등 발생 가능함

       △ 기타 학교 및 학생을 대상으로 한 사이버보안 위협에 대해 개괄적인 발표를 진행함

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 2

     - 주제 : 삭제된 SQLite의 복구가 가능한 ‘bring2lite’ 도구 개발
               (원제 : bring2lite: a structural Concept and Tool for Forensic Data Analysis and Recovery of Deleted SQLite Records)

     - 발표자 : Harald Baier (University of Applied Sciences, Darmstadt)

     - 발표내용

       △ 현재 WhatsApp, Skype 등 모바일 애플리케이션은 데이터 저장을 위해 SQLite 데이터베이스 형식을 사용함

       △ 디지털포렌식 관점에서 SQLite 데이터베이스 관련 모든 정보를 추출하는 것은 필수적임

       △ 본 연구는 SQLite 데이터베이스에서 데이터를 삭제한 경우, 이에 대한 구조적 복원 방법에 대해 연구함

       △ 데이터 삭제에 영향을 미치는 다른 데이터베이스 매개변수(SQLite pragmas)에 따라 SQLite 삭제동작을 분석하여, 그 결과를 토대로 삭제된 레코드의 복원 기능을 구현함

       △ ‘bring2lite’라는 도구로 구현된 연구결과를 공유함

  - 시사점 : 공유된 연구결과(https://github.com/bring2lite/bring2lite)를 활용하여, 삭제된 SQLite 데이터베이스 복원 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer)를 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, ② Chunk 건너뛰기, ③ 유효한 Chunk 시그니처 검색, ④ 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, ⑤ 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving)를 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Lunch with Birds of a Feather (프로젝트 관련 자유로운 의견교환)

  ◦ 장 소 : Willamette Falls / University Grill Lounge & Restaurant

  ◦ 주 제 : 1. Access & Accessibility
             2. Evidence Interoperability (CASE/AFF4)
             3. Forensic intrusion analysis
             4. IoT Hardware Acquisition & Analysis
             5. Locked device exploitation
             6. Reverse Engineering
             7. Volatile memory Analysis

□ Works In Progress (5분간 아이디어 또는 프로젝트 공유)

  ◦ 개 요 : DFRWS USA 2019 참가자 중 사전 신청자에게 5분간 디지털포렌식 관련 자신의 아이디어 또는 진행 중이거나 계획 중인 프로젝트에 대하여 발표 시간 부여

  ◦ 분위기 : 자발적인 참여로 활발한 논의가 진행되었으며, 서로 관심 있는 분야를 연구하는 참가자들간 교환의 장(場)이 됨

  ◦ 주 제 : 1. DFC 2019 – Challenge
             2. Smart Phone Flash Tool(spflashtools.com)
             3. Smart Password Search

<DFRWS USA 2019> - 2일차

【 2019. 7. 15. 】

□ Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 2

     - 주제 : HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식
              (원제 : Inception: Virtual Space in Memory Space in Real Space - Memory Forensics of Immersive Virtual Reality with the HTC Vive)

               * HTC社에서 개발한, 머리에 착용하는 가상현실 디스플레이 장치

     - 발표자 : Peter Casey (University of New Haven)

     - 발표내용

       △ 몰입형 가상현실 시스템인 HTC Vive의 메모리 포렌식을 통해, VR기기의 가상환경(VE), 위치, 상태 등을 추출하고, 가상환경 설정의 시각화 재구성 가능성 확인

       △ HTC Vive의 데이터 추출 자동화를 위해 Volatility 프레임워크를 위한 VR 메모리 포렌식 플러그인(vivedump) 제작

     - 시사점

       △ VR(가상현실), AR(증강현실), MR(혼합현실) 등의 기술을 활용하는 사례가 많아짐에 따라, 가상환경(VE: Virtual Environment)에 대한 디지털 포렌식 분석 필요성 증가

       △ 각 제조사별 기기에 따라 상이한 추출방법, 분석방법이 필요하므로, 선제적인 연구 및 대응 필요

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 3 : 메모리 추출의 로우레벨 (low-level)
   (원제: Behind the scenes of memory extraction)

  ◦ 발표자 : Joe FitzPatrick (SecuringHardware.com)

  ◦ 발표내용

     - 메모리 추출은 디지털 포렌식 분석을 위한 첫 번째 단계로서, 다양한 무료·상용, S/W·H/W 방식의 툴들을 이용함

     - 메모리 추출의 가장 낮은 단계(the lowest level)에서 하드웨어 장치가 메모리에 접근하는 방법에 대해 기술적인 설명함

  ◦ 실습내용

     - 고성능 임베디드 시스템*의 일종인 ‘Intel Galileo C4’ 보드, 리눅스 커맨드라인 툴 등을 이용하여 메모리 추출 및 분석

       * 오픈소스를 기반으로 한 단일보드 마이크로 컨트롤러로 완성된 보드