| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- 무료교육
- 개인정보보호
- 포너블
- 한국정보보호산업협회기자단
- 개인정보보호교육
- 한국산업인력공단
- 동적타이핑
- 유클리드_알고리즘
- 백엔드입문
- package-lock.json
- arrow function
- 확장 유클리드 알고리즘
- 가명정보처리
- 백엔드
- 국가인적자원개발컨소시엄
- 곱셈 암호
- function scope
- 개인정보보호위원회
- 한국정보보호산업협회
- 웹 프레임워크
- 호이스팅
- 모듈러 연산
- 개인정보안전성
- Writeup
- 디오판투스 알고리즘
- node.js
- 마감임박
- pwnable.tw
- package.json
- 덧셈 암호
- Today
- Total
짱짱해커가 되고 싶은 나
06. 안티 포렌식 본문
안티 포렌식은 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 거의 불가능하게 만드는 것 - 존 바바라 -
안티 포렌식은 디지털 증거를 은폐하거파 파괴하는데 사용할 수 있는 기술이지만 합법적인 용도로도 사용할 수 있다. 따라서, 툴과 기술을 사용한 의도를 증명 하는 것이 핵심이다.
[ 데이터 은폐 ]
ex) 파일 이름/ 확장자 변조, 암호화 등
* 난독화 : 컴퓨터 코드를 보호하는 용으로 사용해서 리버스 엔지니어링으로부터 보호하는데 사용한다.
암호화는 데이터 자체에 적용 되기 때문에 컴퓨터가 코드를 이해하지 못해서 이런 용도로는 사용이 불가능하다.
* 암호화 - 폴더 암호화/ 전체 디스크 암호화
운영체제는 swap 공간과 같이 드라이브에 데이터의 흔적을 남긴다. 따라서 파일을 저장하고 있는 폴더 전체를 암호화해도 파일의 일부 또는 전체는 스왑공간에 남아있을 수 있기 때문에 전체 디스크 암호화를 사용하면 이런 식으로 데이터가 누출 되는 것을 방지 할 수 있다. (전체 디스크 암호화 != 모든 볼륨의 데이터)
최신 운영체제에는 암호화 툴이 설치되어 있다. 예로 윈도우는 비트락커, 애플은 파일바울트가 설치된다.
암호화,복호화 과정은 실시간으로 진행되는데 데이터가 저장되기 바로 직전과 RAM에 로드 되기 바로 직전에 작업을 수행한다.
* EFS(암호화 파일 시스템)
파일과 폴더를 암호화하는데 사용되며 윈도우의 사용자 이름과 비밀번호를 암호화 알고리즘의 일부로 사용한다.(이 기능은 NTFS 기능이지 윈도우의 기능이 아니다)
* BitLocker
전체 하드드라이브를 암호화하는데 사용된다. 비트락커를 실행할 때 하드 드라이브는 2개의 파티션이 필요하다. 하나는 대부분의 데이터가 저장되어 있는 운영체제 볼륨이고 다른 하나는 컴퓨터 부팅 파일, 시스템 툴 등을 포함하고 있는 볼륨인데 운영체제 볼륨에 대해 암호화하는 것이다. 비트락커는 독립적으로 작동하지 않고 TPM이라는 하드웨어와 함께 사용된다. TPM은 TPM으로만 복호화가 가능한 키를 생성하고 암호화하기 때문에 TPM이 없이 사용하고 싶다면 외장하드에 키를 저장해놓고 사용해야한다. 추가적으로 BitLocker To Go는 이동식 매체를 암호화할 수 있다.
비트락커로 보호되어 있는 하드 드라이브에 저장되어 있는 파일은 시스템에서 해당 파일을 요청하면 복호화되기 때문에 비트락커가 설치되어 있지만 컴퓨터가 실행 중이라면 복원이 가능하다.
* FileVault
AES 암호화 알고리즘을 사용하고 자사에서 고객이 복원키를 저장할 수 있게 한다.
따라서 적법한 절차를 거쳐서 키를 압수할 수 있다.
* TrueCrypt
무료 오픈소스 소프트웨어로 실시간 암호화 기능을 제공한다. 데이터가 열리면 자동으로 복호화, 저장되면 자동으로 암호화를 수행한다. 전체 디스크 암호화 기능도 있는데 이걸 하면 모든 파일 + 시스템이 자체적으로 생성하는 파일(ex. 레지스트르, 로그 파일, 스왑 파일 등)도 암호화를 수행한다.
* 스테가노그래피
비밀 메시지를 저장하고 있는 호스트 파일(carrier 파일)이 있는데 이 파일에 숨겨진 비밀 문서를 페이로드라고 한다. 파일에는 상당한 양의 불필요한 데이터(노이즈)가 존재하는데 이런 부분을 은폐된 메시지의 데이터로 교체하는 것이다. 페이로드 파일은 다양한 조합이 가능하다(사진, 텍스트 등)
스테가노그래피는 다양한 프로그램이 존재하기 때문에 생성할 때 사용한 프로그램과 비밀번호를 알지 않는 한 페이로드를 축출하기 매우 어렵고 애초에 스테가노그래피를 사용하는지를 판별하기 어렵다. (물론 이를 확인하는 툴 존재)
[ 데이터 파괴 ]
* 드라이브 와이핑 프로그램
하드 드라이브에 있는 데이터가 복원될 수 없도록 데이터를 덮어쓰는데 사용한다.
드라이브에 있는 모든 데이터를 삭제하는 것이 아닌 지정한 파일만을 완전히 삭제하는 것으로 합법적으로 구매가 가능하다.
드라이브 와이핑 프로그램을 사용하면 드라이브에 특이하고 반복적인 데이터 패턴이 존재하는데 이는 일반적인 하드 드라이브에서 볼 수 없는 모습이라 사용 흔적을 남긴다.
+
[ 비밀번호 크랙 ]
비밀번호를 크랙하는 방법은 무차별 대입 공격, 딕셔너리 공격, 비밀번호 재설정 방법 등이 있다.
하드 드라이브의 스왑 공간에서 비밀번호를 찾을 수도 있고, 실행 중인 컴퓨터일 경우 RAM을 캡쳐해서 비밀번호를 찾을 수도 있다. (입력되는 비밀번호는 RAM에 기록되기 때문)
'forensic' 카테고리의 다른 글
| [NONamed Wargame] 유출된 자료 거래사건[3] writeup (0) | 2021.02.11 |
|---|---|
| [NONamed Wargame] 유출된 자료 거래 사건[2] writeup (0) | 2021.02.11 |
| [NONamed Wargame] 우리의 추억들 Writeup (0) | 2021.01.30 |
| 05. 인터넷과 이메일 포렌식 (0) | 2021.01.23 |
| 04. 윈도우 시스템의 증거 (0) | 2021.01.19 |
