[ccibomb@CRG]# _bykim

<DFRWS USA 2019> - 3일차

【 2019. 7. 16. 】

□ Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       △ 메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자의 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       △ 이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 前 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 ‘시간’ 요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

<DFRWS USA 2019> - 1일차

【 2019. 7. 14. 】

□ Workshop 2 : 디지털포렌식 Triage 도구 ‘KAPE’ 소개
   (원제: KAPE: What’s all the buzz about?)

  ◦ 발표자 : Mark Hallman (SANS Institute)

  ◦ 발표내용

     - 최근 SANS Institute에서 개발한 KAPE(Kroll Artifact Parser and Extractor)라는 디지털포렌식 Triage 도구* 소개

       * 현장에서 짧은 시간 안에 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집하주는 포렌식 도구

     - KAPE는 분석관의 필요에 따라 포렌식적으로 가장 관련있는 아티팩트(Artifact)*를 수분 내에 추출, 분석하는 무료도구임

       * 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

     - KAPE의 주요기능은 1)파일 수집과 2)수집된 파일을 하나 이상의 프로그램(모듈 확장 가능)으로 분석해주는 것임

◦ 실습내용

     - 윈도우 운영체제가 설치된 노트북을 지참하여, KAPE를 다운로드받아 1) 커스텀 타겟과 모듈 생성방법, 2) 기기 및 저장매체별 필수적인 데이터 수집방법 등에 대해 실습함

     - KAPE 도구 다운로드 주소 : http://bit.ly/get-kape