Windows Files / 시간 정보


Link - 링크 대상 Birth / Access / Modification


Prefetch - 마지막 실행 시간


INFO2 - 삭제된 시간


Event Log - 생성 시간 / 작성 시간


Registry - 마지막 쓰여진 시간


Index.dat - 방문시간


MFT - Birth / Modification / Changing / Access


'Forensics' 카테고리의 다른 글

Time Encoder 공유  (1) 2012.08.22
Windows 8 Forensics - 4. Registry  (0) 2012.05.14
Windows 8 Forensics - 3. Artifacts (2)  (0) 2012.05.14
Windows 8 Forensics - 2. Artifacts (1)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
Posted by 도시형닌자
:

Windows 8 Forensics - 2. Artifacts

Windows Vista부터 Microsoft는 Application Data 폴더를 소개하였다. 이 폴더는 포렌식 분석가들이 OS에 속해 있는 데이터들이 어떤 것들인 확인할 수 있게 도와주었으며, 어떤 데이터가 사용자의 것들인지에 대해서도 확인할 수 있게 해주었다.


- Local Folder

AppData/Local 폴더는 사용자가 사용하지 않는다. 이 폴더에 저장된 데이터는 사용자가 탐험해보기에는 매우 크다. AppData/Local은 XP에서 "Documents and Settings\%UserName%\Local Settings\Application Data" 폴더로 알려져 있다. AppData/Local 폴더에서 포렌식적으로 의미있는 데이터는 Temporary Internet Files, Internet History 그리고  Windows 8이 남기는 다양한 파일들이 있다. 


Local 폴더에서 포렌식적으로 의미있는 경로는 아래와 같다.

기본 경로 : "%SystemRoot%\Users\%User%\AppData\Local\"


Metro Apps

Metro Interface에서 확인할 수 있는 App들에 대한 링크 파일를 확인할 수 있다.

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\Application Shortcuts 


IE 10 Websites Visited

Index.dat가 WebCacheV24.dat로 변경되었다.

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.dat


IE 10 Websites Session

사용자가 IE 10을 사용하여 접근한 Website Session들을 확인할 수 있다.

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\InternetExplorer\Recovery\Immersive\Active

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\InternetExplorer\Recovery\Immersive\Last Active


사용자가 방문했던 Website내역은 Compound DAT 파일에서 발견할 수 있다. 해당 파일은 ClassID와 비슷한 파일명을 가지고 있다. Encase의 View Structure 기능을 사용하면 Unpack이 가능하며 "TL#"과 같은 형태의 이름들을 다수 확인할 수 있다. TL은 Travel Logs의 약자이며 사용자가 방문했던 Website들 정보를 Plain text로  기록한다. 


Journal Notes

사용자가 생성한 Journal notes의 history와 경로를 담고 있다.

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Journal\Cache\msnb.dat


Journal Notes는 Windows7부터 사용된 기능이다. 하지만 Windows 8에서는 더 많이 사용될 것이다. Application은 DAT 파일을 유지하면서 Journal Notes의 장소를 Plain text로 저장하게 된다.  


 

IE 10 Pinned Favorites

사용자가 Metro Desktop에 고정시킨 즐겨찾기를 보여준다. 

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\ProamingTiles


각각의 즐겨찾기들은 링크파일로 생성되며, 파일명은 10개의 정수로 이루어 진다. 링크파일은 즐겨찾기에 대한 내용을 plain text로 저장하고 있다.


Desktop Tools

Device Manager, Command Prompt, Run과 같은 application에 대한 링크파일을 담고 있다.

%SystemRoot%\Users\Kayser\AppData\Local\Microsoft\Windows\WinX


Desktop Tools는 과거의 Start Menu의 Accessories and System Tools 폴더와 비슷하다. Task bar에서 우클릭하여 접근이 가능하다. 


우클릭하여 확인되는 내용은 세가지 그룹로 나눌 수 있으며,  각각의 그룹 안에 있는 Application은 Application을 실행할 수 있는 링크파일을 가지고 있다.


사용자는 해당 내역을 수정하여 사용 가능하다. 


세가지 그룹을 확인해보자 

그룹 1 Desktop

그룹 2 Run comand, Search, Windows Explorer, Control Panel, Task Manager

그룹 3 Run as Administrator Command Prompt, Command Prompt, Computer Managemnet, Disk Management, device Manager, System, Event Viewer, Power Options, Nerwork Connections, Programs and Features


Metro App Web Cache

Metro App의 Web cache

%SystemRoot%\Users\Kayser\AppData\Local\Packages\%MetroAppName%\AC\INetCache


모든 것은 Windows Live 계정을 사용하여 인터넷에 접근한다. 각각의 App을 통해 사용자는 다른 App에 접근이 가능하다. 각각의 App들은 운영체제가 되는 것이다. 그러므로 각각의 App들은 자신들의 internet artifacts를 가지게 된다. 


Metro App Cookies

Metro App에 대한 Cookie 파일들을 담고 있으며, 데이터는 Text 파일로 남겨진다.

%SystemRoot%\Users\Kayser\AppData\Local\Packages\%MetroAppName%\AC\INetcookies


각각의 Metro App는 Cookies를 남긴다. 해당 쿠키들은 txt로 남겨지며 실제 cookie파일의 내용과 거의 비슷하다.


- Communications App

Windows 8의 Metro Apps은 사용자 행위에 대해서 포렌식적으로 유용한 정보를 저장한다. 해당 정보는 악의적인 사용자가 Covering Track을 진행했을 때, 매우 유용하게 사용될 수 있다.


Communications App은 기본적으로 사용자의 Email, Chat Clients, Facebook, 다른 소셜 사이트의 정보를 가지고 있다. 


Cache

Communication App은 Web cache를 가지고 있다. 해당 경로에서는 Facebook에서서 확인한 사진들과 사용자별 사진 그리고 계정 Page의 사진을 담고 있다.


Cookies

Communication App은 cookies를 가지고 있다. Facebook을 사용하면서 친구와 Chat을 할 때, offline되어 전달되지 않은 메시지가 발견될 수 있다.



- Microsoft Folder

Digital Certificates

%SystemRoot%\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicatonsapps_8wekyb3d8bbwe\AC\Microsoft\CryptnetURLCache\Conent


Microsoft 폴더는 Digital certificaties를 저장한다. Digital certificate은 인터넷 서핑이나 Email을 보낼 때, clients와 Servers를 인증하기 위해 쓰인다.

흔히 쓰이는 개인키와 공개키 방식이다.


Digital Certificate의 알아야 할 정보 - 해당 정보는 Plain text로 저장된다.

     - 소유자의 공개키

     - 소유자의 이름과 주소

     - 인증 만료 날짜

     - 인증 시리얼 번호

     - 인증을 발간한 조직


What's New

e-mail 주소, 물리 주소, 핸드폰 번호 등 을 담고 있다.

%SystemRoot%\Users\%User%\AppData\Local\Packages\microsoft_windowscommunicatonsapps_8wekyb3d8bbwe\AC\Microsoft\Internet Explorer\DOMStore\%History-Folder%\microsoft[3].xml


Microsoft아래에 Internet Explorer에 존재한다. 이 폴더는 사용자에게 "What's New"라는 업데이트를 알려준다. 이 업데이트 중에 페이스북도 포함되어 있다. 


아래의 경로에서 확인이 가능하다.

%SystemRoot%\Users\Kayser\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\AC\Microsoft\Internet Explorer\DOMStore\EVJNPCFB\microsoft[1].xml


페이스북 정보는 사용자가 생성한 사진, 업로드한 사진을 보여준다. 아래에서 보여지는 정보에서 시간과 정보를 확인할 수 있으며 친구인지 아닌지, 업로드된 파일이 있는지 없는지를 알려준다. 아래 XML을 보자


E-mail

E-mail 주소, 물리 주소, 핸드폰 번호 등을 담고 있다.

%SystemRoot%\Users\Kayser\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Indexed\LiveComm\dorumugs@live.co.kr\16.2\Mail


Windows 8의 Email은 다양한 Artifact가지고 있다. Email은 Communications App에 링크된 사용자 계정인지 아닌지 확인 할 수 있다. 또한 Streams라는 Artifact에서 보낸이의 이름, Email 주소, 제목, 첨부파일며으 받은 사람 이름, 받은 사람 Email주소를 알 수 있다.


Stream은 아래와 같은 이름으로 존재한다.

12000001~9/a-f_##################.eml.OECustomProperty


eml.OECustomProperty 파일은 아래와 같은 구조를 가지고 있다. Email이 쓰여진 보내진 시간과 받은 시간을 기록하고 있는 데이터도 존재한다. 이 데이터는 stream의 마지막에서 부터 106bytes 이동한 장소에 위치해 있으며, 8bytes의 값으로 이루어져 있다. 해당 시간은 사용자가 지정한 Time zone 시간의 windows FILETIME으로 기록된다.

EML 파일은 Email의 내용을 담고 있다. EML파일은 OECustomProperty와 같은 이름으로 존재한다. 


예를 들어 1200012f_129755557158031487.eml.OECustomProperty이면 1200012f_129755557158031487.eml이다.


EML 파일은 Email의 제목, 보낸이의 이름 받는 사람, Email주소, 중요도, 날짜와 시간(ASCII / UTC+0000)를 기록, 첨부파일명을 기록하고 있다. 또한 EML파일은 Email의 내용을 담고 있다. 이 내용은 Base64로 인코딩 되어 있다.


User's Contact

E-mail 주소, 물리 주소, 핸드폰 번호 등을 담고 있다


%SystemRoot%\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\LiveComm\%User'sWindowsLiveEmail Address%\%AppCurretVersion%\DBStore\LogFiles\edb####.log


사용자는 주소록에 나와 있는 내용을 사진이나 그림과 같은 아바타로 기록된 사람을 확인할 수 있다. Communications App은 Social Networking과 Messaging과 하나로 연결되어 있다. 그 결과 사용자의 주소들은 하나의 장소에 저장되고 그 저장된 곳에 주소록에 저장된 사용자들의 사진을 확인할 수 있다. 


Windows 8의 사용자는 Windows Live나  Social networking, Messaging에 로그인하게 되면, 아래와 같은 내용을 볼 수 있다.

아래 장소에서 아바타에 관련된 주소들을 확인할 수 있다.

 

edb.####.log파일은 plain Text와 hex로 저장되어 있다. Email 계정은 athomson@xxxx.com이고 UserTile은 주소록이 사용하는 개인별 사진이다. 이 개인별 사진은 Facebook이나 Email 아바타로 볼 수 있다. User Tile은 550d5534-890b-48cc-8f26-8980e5fcc83b이다. 


아래 경로로 접근하면, 550d5534-890b-48cc-8f26-8980e5fcc83b 파일을 찾을 수 있고 해당 파일은 Facebook이나 Email 아바타 사진이라는 것을 확인할 수 있다.


App Settings

Communications App에 대한 설정 정보를 담고 있다.


%SystemRoot%\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Settings


setting.dat파일에서 Communications App의 설정을 찾을 수 있다. setting.dat는 compound 파일이며, Encase의 View Structure를 사용하여 확인 가능하다. View Structure로 unpack하면, 사용자의 Windows Live 계정, 캘린더, 채팅, Email, People 등의 정보를 알 수 있다. Settings 라는 폴더가 사용되거나 생성되는 시간을 정확하게 알 수 없지만, 8byte의 Windows FILETIME 시간으로 확인은 가능하다.





'Forensics' 카테고리의 다른 글

Windows 8 Forensics - 4. Registry  (0) 2012.05.14
Windows 8 Forensics - 3. Artifacts (2)  (0) 2012.05.14
Windows 8 Forensics - 1. Interface  (0) 2012.05.14
안드로이드 포렌식 3편 Log  (2) 2011.08.14
안드로이드 포렌식 2편 adb 사용  (0) 2011.08.14
Posted by 도시형닌자
:
Windows 8 Forensics - 1. Interface

터치 스크린을 대비하여 설계되었다. 손가락으로 탐색이 가능하도록 설정되어 있다. 문서 역시 Flipping을 통해서 가능하며, Zoom기능도 제공된다.

App Data 와 Local and Roaming 폴더는 여전히 존재하며, 여러 부분이 이 전 버전과 닮아 있다. 레지스트리는 그 전과 같은 구조이다. ^^

Windows 프로그램은 기존의 것들과 같다 하지만 일부분은 Windows 8에서 다르다.

Windows 8은 Mobile devies를 겨냥하여 출시되었다. 그러므로 인터페이스는 확실히 다르다~

아래 화면은 lgin/lock 화면이다. 이 화면에서는 캘린더 이메일 페이스북 등의 알림을 볼 수 있다.

 

- 3가지의 로그인 방법

     일반적인 로그인 방법
     그림을 그려서 로그임(그림 패턴을 인식한다.)
     PIN sign-in

아래와 같은 그림을 그려서 로그인 하게 된다. 

- 시작 메뉴

시작 메뉴는 아래 그림과 같이 많은 모습이 바뀌었다. 프로그램들은 Wndows  Store를 사용하여 설치되거나 삭제되는 형태를 가지고 된다. 또한 기본 앱으로 지하철, 지도, Internet Explorer 10,  날씨 등과 같은 앱이 설치되어 있다. 이러한 부분으로 좀 더 사용자 친화적으로 만들어 진 것을 느낄 수 있다.

 

Windows 8 Desktop에는 Charmes라는 기능이 있다. 이 기능은 Search, share, Devices, Setting등을 바로 바로 이동할 수 있게 도와준다.

 

- PC Settings

Charms를 통해 PC의 설정에 접근 가능하지만, Consumer Preview에서 많은 설정을 접근할 수 없지만, Windows 8이 특별하다는 것을 어느 정도 짐작하게 해준다. PC Settings에서 General을 보면 Refresh your PC와 Resetting your PC를 볼 수 있다. 기능은 아래와 같다.

Refresh your PC
     - 사용자의 파일들과 개별적으로 설정된 내역은 변경되지 않는다
     - PC의 설정은 초기 설정으로 돌아간다.
     - Windows Store로 부터 설치된 App들은 유지된다.
     - Windows Store가 아닌 다른 방법으로 설치된 내역은 삭제된다.
     - 삭제된 App 목록은 Desktop에 저장된다.

Resetting your PC
     - 사용자의 파일들과 APP들 모두 삭제된다.
     - 사용자의 PC는 최초의 설정으로 돌아간다. 

 

- Task Manager

Task Managet에는 프로레스 사용량과 사용자 관리 등 다양한 기능을 시각적으로 보여준다.

- Windows Store

Windows Store를 통해서 애플리케이션을 설치 또는 삭제 할 수 있다.
Windows Store를 통하지 않아도 애플리케이션을 설치 또는 삭제 할 수 있다.

 

- Messaging APP

Windows Live 계정을 통해서 대화를 할 수 있다.
Gtalk, Facebook 등을 연동하여 사용이 가능하다.


 

- Weather App

날씨를 알려주며, GPS기능을 기원한다.

 

- BSD(Blue Screen of Death)

Windows 8에서도 역시 BSD가 존재한다. 기존에는 많은 문자와 화면으로 좌절감을 심어주었지만, 이번에는 다르다. 사용자가 공감할 수 있도록 친절히 영어로 보여주며, 이쁜 이모티콘도 들어 간다. 


 

- Windows Desktop 

Windows Desktop의 모습이다. 새로운 Metro UI를 보여준다. Consumer Preview에서는 아래와 같이 시작 버튼이 사라져 있지만, Developer Preview에서는 시작버튼이 존재한다.   

 

 

시작버튼은 없지만 시작메뉴에는 접근이 가능하다. 왼쪽 아래로 마우스를 가지고 가서 멈춰 놓으면, Metro UI에 접근이 가능하고 왼쪽 스크린으로 이동하면, 사용자가 최근에 사용하거나 현재 동작중인 App들을 확인할 수 있다. 왼쪽 가장 위에 있는 것은 사용자가 마지막으로 실행한 App이다.

 

Windows 8의 Explorer는 어딘가 모르게 Microsoft Offtice와 닮아 있다. 탭으로 기능을 분할 하여 간편하게 이동하게 도와준다.



이거 참조했다. 근대 틀린거도 있고 추가할 부분도 좀 넣었다. 재미있었다.

 





Posted by 도시형닌자
:

커널, 시스템, App 로그들

시스템과 커널은 리눅스 시스템에서 확인할 수 있는 내용을 그대로 담고 있습니다.
시스템에서 남기는 로그를 확인하는 방법은 아래와 같습니다.

ㅁ Kernel log

time stamp를 확인하거나 언제 boot-up되었는지에 대한 내용을 알 수 있습니다.(최근에 boot하지 않을 경우, 없을 수 있음)

길이가 길경우, 파이프라인( | )으로 확인하거나, 리다이렉트( > )하여 확인합니다. 전체 길이는 ( | wc -l)로 확인합니다. 

 

ㅁ 시스템의 Update List, App의 debug Message

해당 로그로 경도 / 위도 데이터의 정보, 날짜 / 시간 정보, App의 자세한 정보 등을 알 수 있습니다.

맨 앞에 있는 I는 message의 type을 말해줍니다. type의 정보는 아래와 같습니다.

Message Type     Description
V                           Verbose
D                           Debug
I                            Information
W                          Warning
E                           Error
F                           Fatal
S                           Silent 


로그는 기본으로 전체를 보여주나, radio와 events로 구분해서 볼 수 있습니다.
방법은 -b radio 하거나 -b events 하면 됩니다.


ㅁ radio

radio에서는 아래와 같은 정보를 확인할 수 있습니다.
- Time stamp - Unix Epoch로 시간 정보를 확인 가능합니다.

(ex> 123451234) => dcode나, date -d @1234512345로 확인.

- 모바일 폰이 통신을 위해 새용한 cellular modem의 AT 명령어
- SMS의 받는 사람, 크기, 인코딩된 SMS Message
- 장치의 IP 주소, network정보, 위치 정보
- 무선 통신 정보


ㅁ events

INSERT와 SELECT 정보로 DB에 저장되는 내용이 존재하는 것을 알 수 있습니다.


ㅁ dumpsys

dumpsys는 서비스, 메모리, 시스템의 자세한 정보를 제공합니다. 제공하는 정보는 아래와 같습니다.

root@ubuntu:~/android-sdk-linux_x86# adb shell dumpsys

- 동작중인 services
- 각서비스들의 Dump (Sync, 위치, 사용자,
- 현재 동작하고 있는 Services, broadcasts, pending intents, activities, processes
- Processes이 사용하는 Memory, Process IDs(PID), databases 


ㅁ 로그로 사용되는 정보
 



ㅁ bugreport
위의 명령어나 파일들을 어떻게 일일이 수집할까하는 고민이 있을 수 있습니다.
그와 관련해서 이번 섹션에서 소개되는 bugreport는 굉장히 유용합니다.
데이터를 한번에 수집할 때, 사용할 수 있으므로 의미있지만, 상당히 긴 로그를 불러옵니다.

사용방법은 아래와 같습니다. 
root@ubuntu:~/android-sdk-linux_x86# adb bugreport

Posted by 도시형닌자
:

안드로이드 폰을 우분투에 연결합니다. 테스트한 폰은 SKY 폰입니다. 


 USB 저장소를 사용 중으로 변경하면, 아래와 같이 /dev/sdb1 장치가 /media/6663-6233에 마운팅 된것을 확인 할 수 있습니다. Physical sd card가 4기가 존재합니다. 파일 시스템은 FAT32로 동작합니다. 

 
 

USB Debugging
대부분의 모바일 포렌식 도구들은 모바일에 Debugging 옵션을 선택해야 가능한 경우가 많습니다. 
Debugging옵션을 활성화 하면, ADB(Android Debug Bridege)를 이용하여, 
장치(모바일)의 로그나 시스템 쉘을 사용할 수 있습니다.

적용 방법 : 모바일에서 Devices Setting > Applications > Development > USB debugging > check
sky 모바일 폰 : 설정 > 시스템 > 응용프로그램 > 개발 > USB 디버깅 > 체크 



장치가 연결된 후, 우분트엣서는 adb를 사용하여 모바일에 접근할 수 있습니다. 
로컬 adb client program은 5037port를 사용합니다.  


adb devices를 사용할 때, device가 no permissions라고 나올 경우, vendor ID를 확인하여 rule에 추가합니다.
참고 : vendor ID를 추가하는 법은 이미 배워서 넘어갑니다.
참고 : 연결된 ubs의 정보를 확인하는 명령어는 아래와 같습니다.

 

- 사용되는 명령어
dorumugs@ubuntu:~$ adb devices - 장치에 연결
dorumugs@ubuntu:~$ adb kill-server  - 연결된 장치 refresh
dorumugs@ubuntu:~$ sudo restart udev - usb 장치 재시작
dorumugs@ubuntu:~$ adb shell - 장치에 존재하는 shell을 사용 

 

'Forensics' 카테고리의 다른 글

Windows 8 Forensics - 1. Interface  (0) 2012.05.14
안드로이드 포렌식 3편 Log  (2) 2011.08.14
안드로이드 포렌식을 시작합니다. 1편 세팅  (0) 2011.08.14
MAC live data 수집  (0) 2011.03.10
ENCE 준비 1. 시험 신청  (0) 2011.03.09
Posted by 도시형닌자
:
안드로이드는 Linux 2.6 Kernel을 사용합니다.

2008년 10월에 처음 모바일폰이 나왔죠..  기종은 

HTC DREA100 

T-Mobile G1 

Global System for Mobile Communications(GSM)

구글의 꿈은 세계 정복이며, 그들의 야망은 정보를 대량으로 수집하는 것입니다. 

안드로이드를 Open Source로 제공하는건 위 꿈과 야망 둘 중에 하나가 일치해서가 아닐까 합니다.

--------------------------------------------------------------------------------------------------------

안드로이드 부팅 순서
1. 전원이 들어오고 boot ROM 코드가 chip에서 실행됩니다.
2. boot loader가 읽어 들이고
3. Linux kernel로 넘어 갑니다.
4. init process가 실행되고
5. Zygote와 Dalvik
6. 시스템 서버
7. 부팅이 완료!


 --------------------------------------------------------------------------------------------------------

모든 테스트는 우분트에서 진행합니다. 우분트는 아래 사이트에서 받아서 VM으로 설치하였습니다.
URL: http://www.ubuntu.com/download/ubuntu/download

우분트 설치 후, 기본적으로 사용할 도구인 Sleuth kit을 설치합니다.

그리고 포렌식 부분에서 중요하게 생각되는 automount를 비활성 시킵니다.
방법 : apps > nautilus > preferences > media_automount > uncheck

 --------------------------------------------------------------------------------------------------------

우분투에서 포렌식 테스트를 막힘없이 진행하기 위해 필요한 라이브러리와 AOSP(Android Open Source Project)를 받아서 설치하거나 저장합니다.

root@ubuntu:~# sudo add-apt-repository "deb http://archive.canonical.com/ lucid partner"

root@ubuntu:~# apt-get update
root@ubuntu:~# apt-get upgrade -u
root@ubuntu:~# sudo reboot

root@ubuntu:~#sudo apt-get install git-core gnupg flex bison gperf libsdl1.2-dev libesd0-dev libwxgtk2.6-dev squashfs-tools build-essential zip curl libncurses5-dev zlib1g-dev sun-java6-jdk pngcrush g++-multilib lib32z1-dev lib32ncurses5-dev lib32readline5-dev gcc-4.3-multilib g++-4.3-multilib

root@ubuntu:~/Desktop# mkdir -p ~/bin
root@ubuntu:~/Desktop# mkdir -p ~/android
root@ubuntu:~/Desktop# curl http://android.git.kernel.org/repo > ~/bin/repo
root@ubuntu:~/Desktop# chmod 755 ~/bin/repo 

root@ubuntu:~/android# cd ~/android/
root@ubuntu:~/android# time ~/bin/repo init -u git://android.git.kernel.org/platform/manifest.git

root@ubuntu:~/android# time ~/bin/repo sync

cd ~/android
source build/envsetup.sh
lunch
time make

--------------------------------------------------------------------------------------------------------

Linux SDK 설치

root@ubuntu:~/wget http://dl.google.com/android/android-sdk_r12-linux_x86.tgz

첨고 : 접속이 안될경우 http://developer.android.com/sdk/index.html로 들어가서 다운로드 합니다.
참고 : 리눅스가 64bit일 경우, sudo apt-get install ia32-libs로 32bit 라이브러리를 설치합니다.

- android 실행
root@ubuntu:~# tar -xvzf android-sdk_r12-linux_x86.tgz
root@ubuntu:~# cd ~/android-sdk-linux_x86/tools
root@ubuntu:~/android-sdk-linux_x86/tools# ./android

안드로이드를 실행하면, Android SKD and Android Virtual Device(AVD) manager가 실행됩니다.
available packages > SDK Platform Android 2.3, API 9, revision 1> check > install selected > Accept ALL > Install

- PATH 설정

nano -w ~/.bashrc
export PATH=$PATH:/home/dorumugs/android-sdk-linux_x86/tools/
export PATH=$PATH:/home/dorumugs/android-sdk-linux_x86/platform-tools/

- 안드로이드 USB profile생성
sudo nano -w /etc/udev/rules.d/51-android.rules
벤더사들의 ID 확인하기 위해서는 아래 URL 확인하면됩니다.
참고 : http://developer.android.com/guide/developing/device.html#VendorUds

#Acer
SUBSYSTEM=="usb", SYSFS{idVendor}=="502", MODE"0666"
#Dell
SUBSYSTEM=="usb", SYSFS{idVendor}=="413c", MODE"0666"
#Foxconn
SUBSYSTEM=="usb", SYSFS{idVendor}=="489", MODE"0666"
#Garmin-Asus
SUBSYSTEM=="usb", SYSFS{idVendor}=="091E", MODE"0666"
#HTC
SUBSYSTEM=="usb", SYSFS{idVendor}=="0bb4", MODE"0666"
#Huawei
SUBSYSTEM=="usb", SYSFS{idVendor}=="12d1", MODE"0666"
#Kyocera
SUBSYSTEM=="usb", SYSFS{idVendor}=="482", MODE"0666"
#LG
SUBSYSTEM=="usb", SYSFS{idVendor}=="1004", MODE"0666"
#Motorola
SUBSYSTEM=="usb", SYSFS{idVendor}=="22b8", MODE"0666"
#Nvidia
SUBSYSTEM=="usb", SYSFS{idVendor}=="955", MODE"0666"
#Pantech
SUBSYSTEM=="usb", SYSFS{idVendor}=="10A9", MODE"0666"
#Samsung
SUBSYSTEM=="usb", SYSFS{idVendor}=="400000000", MODE"0666
#Sharp
SUBSYSTEM=="usb", SYSFS{idVendor}=="04dd", MODE"0666"
#Sony Ericsson
SUBSYSTEM=="usb", SYSFS{idVendor}=="0fce", MODE"0666"
#ZTE
SUBSYSTEM=="usb", SYSFS{idVendor}=="19D2", MODE"0666"

- 파일 권한 변경
dorumugs@ubuntu:~$ sudo chmod a+r /etc/udev/rules.d/51-android.rules 


 --------------------------------------------------------------------------------------------------------

설치한 에뮬레이터 동작

에뮬레이터를 사용하여 기존에 모바일에서 동작하는 시스템을 그대로 구현할 수 있습니다. 

시스템을 그대로 구현하고 테스트를 진행할 수 있는 것은 포렌식에 있어서 증명할 수 있는 기회를 제공하므로

매우 중요합니다. 에뮬레이터를 동작 시켜 보도록 합니다.

dorumugs@ubuntu:~$ android (PATH를 지정하여 어디서든 실행이 가능합니다.)

 




 
에뮬레이터를 구동한 후 저장되는 디렉터리는 아래와 같습니다.
Ubuntu => /hoome/<username>/.android

구동되고 있는 에뮬에이터의 디렉터리 구조를 확인해보면 아래와 같은 디렉터리 구조를 확인 할 수 있습니다.
cache.img - 디스크의 /cache 파티션 => YAFFS2 file system
sdcard.img - SD 카드의 이미지 => fat32 file system
userdata-qemuu.img - 디스크의 /data 파티션 => YAFFS2 file system

dorumugs@ubuntu:~/.android/avd/dorumugs_test.avd$ file sdcard.img
sdcard.img: x86 boot sector, code offset 0x5a, OEM-ID "MSWIN4.1", Media descriptor 0xf8, sectors 51200 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 397, reserved3 0x800000, serial number 0xd06340e, label: "     SDCARD"

dorumugs@ubuntu:~/.android/avd/dorumugs_test.avd$ file cache.img
cache.img: VMS Alpha executable

dorumugs@ubuntu:~/.android/avd/dorumugs_test.avd$ file userdata-qemu.img
userdata-qemu.img: VMS Alpha executable

 
 --------------------------------------------------------------------------------------------------------


 

'Forensics' 카테고리의 다른 글

안드로이드 포렌식 3편 Log  (2) 2011.08.14
안드로이드 포렌식 2편 adb 사용  (0) 2011.08.14
MAC live data 수집  (0) 2011.03.10
ENCE 준비 1. 시험 신청  (0) 2011.03.09
침해대응시 사용하는 스크립트 툴  (0) 2011.02.10
Posted by 도시형닌자
:

F-response 설명서

Forensics 2009. 9. 11. 01:36 |
<개요>
F-response란 포렌직 툴로서 원격에 있는 하드를 이미지처럼 불러와서 읽어 들일 수 있는 기능을 가진 툴이다, encase같은 경우 이런 원격을 통해 접근할  수 있는 솔루션이 있지만 가격은 상상을 초월하는 가격이므로 어지간한 기업이나 사용자가 아니면 손도 못댄다 하지만 그 가격의 몇십분의 일로 원격기능을 수행할 수 있는 툴이 바로 이 f-response이다 동글이 없으면 사용은 못하지만 사용해본 내역을 적어서 올려 볼까한다 .

1. 설치전 유의사항
   - 계정암호 설정

사용자 삽입 이미지

암호가 존재하지 않으면 연결이 되어지지 않는다 default로 무조건 암호를 지정하여야만 조건이 성립하므로 test시 암호를 꼭 설정해 준다(OS마다 설정해주는 경로는 다를 수 있으므로 유의한다) 경로는 제어판 -> 사용자 계정 및 가족 보호 -> 사용자 계정 에서 확인 하면 된다
 
   - Secpol.msc 설정
사용자 삽입 이미지

실행 창에서 로컬 보안 정책으로 들어가도록 한다
사용자 삽입 이미지

로컬 정책 -> 보안 옵션 -> 네트워크 엑세스 : 로컬 계정에 대한 공유및 보안 모델을 일반으로 맞추어 준다

   - 윈도우 7설정

사용자 삽입 이미지

원격지 OS가 윈도우 7일 경우 제어판 -> 시스템 및 보안 -> Windows 방화벽 -> 설정 사용자 지정으로 들어가  홈 또는 회사(개인) 네트워크 위치 설정에서 방화벽을 풀어준다 7 이외의 xp이상 버전을 가진 OS는 방화벽 설정을 따로 하지 않아도 사용 가능하다
 
   - 리눅스
사용자 삽입 이미지

F-Response가 설치된 폴더로 이동하면 버전 별로 바이너리 코드가 들어 있다 리눅스 경우에는
f-response-ce-e-lin을 리눅스 상에서 실행하면 동작 가능하다

   - 서버에서 실행 상태

사용자 삽입 이미지

SERVER PC에서 TCP 포트로 5681이 Listening중인 것을 확인 할 수 있다
사용자 삽입 이미지

Host(server)에서 설정 해놓은 포트가 Remote에서 열리면서 ESTABLISHED 상태가 되는 것을 확인 할 수 있다
 

2. 설치
사용자 삽입 이미지

Next를 여러 번 눌러서 진행을 한다
사용자 삽입 이미지

XP 왕 2003에서 구동할 때 필요한 셋업 파일을 온라인을 통해 받아 온다
사용자 삽입 이미지

해당 사항에 맞는 버전을 설치한다 필자는 Initiator-2.08-build3825-x86fre.exe를 설치하겠다
사용자 삽입 이미지

Next를 누르며 진행한다


3. F-response 실행

사용자 삽입 이미지

F-Response Enterprise Management Console를 실행하면 이러한 창이 뜬다 file -> configure로 들어가 보자
사용자 삽입 이미지

이러한 창이 뜬다 Cancel을 누르고 나간다 설치한 같은 폴더에 F-Response License Manager Monitor 프로그램을 실행하자
사용자 삽입 이미지

F-Response License Manager Monitor는 일종의 서버를 구성하는 것이라고 보면 된다
Install을 누르고 start로 서버를 진행 시켜보자
사용자 삽입 이미지

Start를 누르면 왼쪽 컴퓨터의 그림 중에 F가 빨강에서 파랑으로 바뀐다 이제 F-Response Enterprise Management Console로 돌아가서 configure을 만져보자
사용자 삽입 이미지

F-Response License Manager Monitor 모니터에서 설정해준 IP를 넣어준다
TCP 포트는 Default값인 5681로 하여도 무방하니 default로 설정하겠다
사용자 삽입 이미지

Service Name : F-response service(일종의 이름이므로 아무렇게나 써넣어도 무방하다)
Executable : 설치한 곳의 PATH에서 enterprise 실행 파일을 선택한다
사용자 삽입 이미지

# Add를 눌러서 추가하면 아래에 추가내역이 들어가게 된다
사용자 삽입 이미지

Scan Network by IP Range로 들어가 범위를 넣어주고 스캔을 시작하자
사용자 삽입 이미지

필자는 100~101까지 범위를 주었지만 실제 테스트에서는 해당하는 IP대역을 조사하면 된다. 도메인이 있을 경우 Scan Network by Domain을 택하면 되고 테스트 서버가 한 개일 경우에는 Direct  Connect로 바로 접속 하면 된다
사용자 삽입 이미지

스캔이 다 되었으면 위와 같은 화면이 나타나며 해당 IP에 Install과 start를 눌러서 연결 가능하게 만들어 준다
사용자 삽입 이미지

Start후에 Issue Discovery Request를 눌러서 connect 정보를 갱신하자
사용자 삽입 이미지

Issue Discovery Request 후에 connect 탭으로 옮겨서 login to F-Response Disk를 눌러서 가상의 디스크를 불러 올 수 있게 만든다
사용자 삽입 이미지

Login 된 것은 connected로 바뀐다 이제 x-way로 해당 디스크를 물려 보겠다
사용자 삽입 이미지

Open Disk를 눌러서 디스크를 지정한다
사용자 삽입 이미지

해당 드라이브가 마운트가 된 것이 확인된다 열어보도록 하겠다
사용자 삽입 이미지

모든 디렉토리까지 인식하는 것으로 보아 정확히 접근하여 정보를 가져오는 것으로 확인되었다


4. Consultant Ver
사용자 삽입 이미지

File -> create autoconfigure를 선택한다 기존에 입력하는 것은 위에 내용과 다르지 않으며 F-response Consultant Executable부분만 다르므로 이 부분만 다루도록 하겠다
Browse를 눌러서 실행할 파일을 선택한다 선택 후 저장할 곳을 지정한 후 확인하면 아래와 같은 파일이 생성된다
사용자 삽입 이미지

ini 파일에는 설정된 내용이 저장되어 있다 이제 이 실행파일과 설정파일을 클라이언트 PC에서 실행 하면 F-response에서 읽어 들이고 저장매체에 접근이 가능해진다
사용자 삽입 이미지

이 화면이 클라이언트에서 실행된 화면이다 start를 눌러서 실행한다
사용자 삽입 이미지

이 화면은 서버에서 Active를 확인하여 issue까지 맞춘 화면이다 이런 식으로 consultant도 접속이 가능하다

'Forensics' 카테고리의 다른 글

x-way forensic으로 파일 복구하기  (0) 2010.09.24
정규표현식 2회  (0) 2010.04.05
쓸만한 무료 웹 스캐너 Skipfish  (0) 2010.04.05
ASP Webshell  (0) 2010.03.18
재미있는 정규표현식 1회  (1) 2010.03.17
Posted by 도시형닌자
: