Digital Forensics2019. 10. 17. 23:55
반응형

<DFRWS USA 2019> - 3일차

 

 2019. 7. 16. 

 Presentations: Artifacts & Interpretation

  ◦ 좌 장 : Erika Noerenberg (Carbon Black)

  ◦ 발표 4

     - 주제 : 트리아지 분석으로서의 메모리 포렌식 (원제 : Memory forensics as Triage Analysis)

     - 발표자 : Aaron Sparling

     - 발표내용

       △ 전통적인 포렌식 접근 및 방법론에 따르면, 디지털 증거를 수집하기 위해 기기 자체를 연구실로 가져오는 경우가 많았으며, 물리메모리 획득 또는 라이브 분석은 드물었음

       메모리 포렌식을 통해 신속하고 쉽게 디지털 기기 사용자 활동을 추적하고, 외부장치를 식별하고, 사용자 일정 및 레지스트리 분석을 할 수 있으며, 암호를 찾을 수 있음

       이를 위해 트리아지* 관점에서 파일시스템 검사 및 하드드라이브의 이미징 시스템의 물리적 메모리 획득 및 분석 병행이 필수적임 (메모리 획득은 수분 내에 가능)

        * 디지털 증거는 파급성과 삭제 가능성, 확산속도로 인해 시간요소가 매우 중요하여, 응급환자 분류모델인 ‘Triage’ 개념 적용이 필요함

반응형
Posted by CCIBOMB
Digital Forensics2019. 10. 17. 22:57
반응형

<DFRWS USA 2019> - 1일차

 

 2019. 7. 14. 

Workshop 2 : 디지털포렌식 Triage 도구 ‘KAPE’ 소개
   (원제: KAPE: What’s all the buzz about?)

  ◦ 발표자 : Mark Hallman (SANS Institute)

  ◦ 발표내용

     - 최근 SANS Institute에서 개발한 KAPE(Kroll Artifact Parser and Extractor)라는 디지털포렌식 Triage 도구* 소개

       * 현장에서 짧은 시간 안에 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집하주는 포렌식 도구

     - KAPE는 분석관의 필요에 따라 포렌식적으로 가장 관련있는 아티팩트(Artifact)*를 수분 내에 추출, 분석하는 무료도구임

       * 운영체제나 애플리케이션을 사용하면서 생성되는 흔적

     - KAPE의 주요기능은 1)파일 수집과 2)수집된 파일을 하나 이상의 프로그램(모듈 확장 가능)으로 분석해주는 것임

실습내용

     - 윈도우 운영체제가 설치된 노트북을 지참하여, KAPE를 다운로드받아 1) 커스텀 타겟과 모듈 생성방법, 2) 기기 및 저장매체별 필수적인 데이터 수집방법 등에 대해 실습함

     - KAPE 도구 다운로드 주소 : http://bit.ly/get-kape

반응형
Posted by CCIBOMB