볼라틸리티 설치


git clone https://github.com/volatilityfoundation/volatility.git

cd volatility

python setup.py build

sudo python setup.py install

cd ~



플러그인 설치 


git clone https://github.com/gdabah/distorm.git

cd distorm

python setup.py build

sudo python setup.py install

cd ~


디스크 이미지 파일을 vmdk로 바꾸어 가상으로 부팅하고 싶은 경우가 간혹가다가 생긴다.


이런 경우 qemu를 사용하여 변환할 수 있다.


apt-get qemu 

qemu-img convert [imagefile.dd] -O vmdk [OutputImage]


.vmdk로 바꾸고 나서 부팅해주면 된다.




  • 메일 확장자

Programs

Extensions

Microsoft Office Outlook

.pst .ost

Outlook Express

.dbx

Mozilla thunderbird

.msf

IBM Lotus Notes

.nsf

Mac OS X

.mbox


#메모리 포렌식 #볼라틸리티 #Volatility #라이브 포렌식


파란색 - 입력 값

빨간색 - 플러그인



1. python vol.py -f <dump_file> --profile=<profile> <plugin> [args]


다음은 볼라틸리티(volatility)의 기본 명령어 형태이다.

프로파일을 지정하지 않을 경우 기본 프로파일인 WinXPSP2x86으로 동작한다.



2. python vol.py <plugin> --help

플러그인의 명령어를 보기 위해서는 플러그인의 이름과 -h/--help를 추가하면 된다.



3. python vol.py -f <dump_file> imageinfo 

각 시스템마다 사용해야 할 데이터 구조, 알고리즘, 심볼들이 다르기 때문에 메모리 덤프가 어느 시스템에서 수집되었는지 프로파일을 알려주는 명령어다.



4. python vol.py -f <dump_file> kdbgscan



5. python vol.py -f <dump_file> filescan



5. python vol.py -f <dump_file> dumpfiles -Q 0x0000~~~ -D ./






지속적인 업데이트 예정입니다.

'# technic > - forensics' 카테고리의 다른 글

컴퓨터 발전과정 및 프로세스 구조  (0) 2016.10.12
디지털 포렌식의 일반원칙과 전자적 증거의 진정성  (0) 2016.10.12
[디포2급] 정선문제 필기 정리  (0) 2016.05.06
..  (0) 2016.04.21
잡지식  (0) 2016.04.20

1. 해킹범죄 수사관련


(1.) 해킹범죄 종류

단순 침입, 사용자 도용, 파일 등 삭제/변경, 자료 유출


(2.) 사이버범죄수사관의 입장에서 해킹범죄 종류별 핵심수사사항



(3.) 해킹범죄 수사 단계 

기초 조사 > 현장 조치 > 정밀 분석 > 보고서 작성 > 용의자 추적


(4.) 해킹범죄와 관련된 처벌과 관련된 법

정보통신망 이용 촉진 및 정보보호법 == 정보통신망법


3년 이하의 징역 또는 삼천만원 이하의 벌금 -> 침입하는 행위

5년 이하의 징역 또는 오천만원 이하의 벌금 -> 처리 보관 또는 전송되는 타인의 정보훼손, 타인의 비밀침해 도용 또는 누설 









2. 사이버범죄수사관이 작성해야 할 수사결과 보고서

(1.) 수사보고서 작성시 6하 원칙, 8하 원칙

6하 원칙 : 누가 / 언제 / 어디서 / 왜 / 어떻게 해서 / 어떻게 되었나

8하 원칙 : 누가 / 언제 / 어디서 / 누구와 / 왜 / 누구에게 / 어떻게 해서 / 어떻게 되었나 


(2.) 수사의 사실적인 내용, 법률적 내용 

사실적 내용 : 법률적 평가 이전에 구체적인 행위를 명확하게 하는 활동

1. 수사요소의 충족 (4하 원칙 / 6하 원칙 / 8하 원칙)

2. 행위의 필연성 : 범행이 일어나지 않으면 안 되었던 조건을 묘사

3. 사건의 형태성 : 수사 자료를 질서 있게 전체적으로 집약하여 사건의 전모를 나타내는 것을 의미 


법률적 내용 : 행위가 형벌법령에 규정된 범죄의 구성요건 등을 충족하는지 규명하는 것

1. 구성요건에 해당성 여부 

2. 위법성 여부

3. 책임성 여부

4. 가별성 여부 



(3.) 수사결과보고서에 들어가는 항목들 

피의자 인적 사항, 범죄 경력, 범죄 사실, 범죄 적용 법조, 수사 결과 및 의견, 수사 지휘 및 결제 확인란


(4.) 우리나라 수사기관의 종류 2가지(검사, 사법경찰관리) 영장 발급

???????


(5.) 우리나라 형법에서의 형의 종류 9가지와 각종 형의 기관과 해당 금액, 형의 적용을 받지 않는 자는 ?

형의 종류 : 사형 / 징역 / 금고 / 자격상실 / 자격정지 / 벌금 / 구류 / 과료 / 몰수 


형의 적용을 받지 않는 자 : 만 14세 미만













3. 이메일 또는 스펨메일 추적 수사


(1.) 이메일의 주소를 변조하여 보낸 사람의 발송자 IP를 메일헤더에서 찾는 방법

 


위 그림은 NAVER 메일의 헤더이다. 이메일 헤더에서 발송자 IP를 찾으려면 맨 밑의 Received를 살피면 찾을 수 있다.



(2.) 윈도우 7 운영체제에서 telnet 서비스로 메일발송을 하려면 어떤 설정을 해 주어야 하나 ?


   - 1. [제어판 -> 프로그램 및 기능 -> Windows 기능 사용/사용 안함] Click

   - 2. 텔넷 서버 / 텔넷 클라이언트에 해당되는 네모박스에 Check



(3.) 메일서버(Ex. hMailServer) 설정한 후 서비스를 하려면 어떤 포트를 어디서 열어주어야 하는가 ?


고급 보안이 포함된 Windows 방화벽에서 인바운드 규칙으로 포트 3개를 열어줘야 한다.

SMTP(25) / POP3(110) / IMAP4(143)



(4.) IP 주소를 찾아낸 후 사이버 범죄 수사관이 IP 추적을 어떻게 한느지 ?

Whois 서비스나 이메일 헤더를 이용해 IP주소를 추적하는 방법


- 수사기관이 법원을 허가를 받아 ISP 업체에 직접 요청한다. 만약 IP가 해외로 나온다면 해외 업체에 인터폴 등으로 문의

- Whois에 IP를 입력하면 ISP업체에서 등록한 정보를 볼 수 있다. 최종사용자의 정보는 안나옴.(일반인기준) 





















4. 이메일에 첨부파일을 담아 보낸 경우, 첨부파일 내용 확인하는 법


smtp.pcap




(1.) 'NetworkMiner'를 사용하는 법 

NetworkMiner_1-5.zip




다운로드한 NetworkMiner.zip 압축을 해재하고 '.exe'를 실행한다.




file -> open 으로 stmp.pcap을 열어준다. 






NetworkMiner.exe 가 smtp.pcap 파일을 다 읽으면 정보를 보여준다.

 



Message 탭에서 e-mail 를 확인할 수 있다.




Files 탭에서 주고받은 file 들을 확인할 수 있고 그 중 '.docx' 확장자를 찾을 수 있다. 



보고자 하는 곳에 마우스 우클릭을 하면은 Open file / Open folder 두 가지가 있다. 



Open folder로 열었을 경우


'NetworkMiner'는 pcap을 분석할 때 \AssembledFiles\ 하위 디렉토리에 분석된 파일들을 저장해두는 걸 볼 수 있다.



























(2.) 'Wireshark'를 사용하는 법 


'smtp.pcap' 파일을 wireshark로 열고 tcp / smtp 중 하나를 follow -> tcp stream 해준다.





e-mail data들을 확인할 수 있다.



파란색 네모 상자안을 보면 filename = "secretrendezvous.docx"라는 attachment가 보이고 

밑의 빨간색 네모에는 그 docx의 데이터지만 base64로 암호화 된걸 확인할 수 있다.


base64로 Encoding된 docx의 데이터들만 복사해 파일로 저장한 다음


http://base64converter.com/ 사이트에서 decoder 시켜준 뒤 다운받고 이름을 'download.bin' -> 'secretrendezvous.docx'로 바꿔주면 된다. 

 

 

 

E-mail Header 추적

 

www.ip-adress.com/trace_email/

+ Recent posts