OSXPMem의 물리 메모리 이미징 방법
2012년까지만해도 OSX이 메모리 이미징 방법에 Closed-Source 프로젝트인 MacMemoryReader에 의존하다보니, 개발자가 업데이트하지 않는 이상 최신 버전의 OS X의 메모리 이미징을 하지 못하는 문제가 발생하였다. OSXPMem는 2012년 말에 volatility framework를 개발 중인 구글...
Mac Response Forensics(MacResponseLE)의 메모리 이미징 모듈
2010년 경에 Mac Response Forensics 는 프레임워크가 공개되었다. 이 프레임워크는 제목에서 기술한 메모리 이미징 기능 뿐만 아니라 라이브 데이터 수집 기능까지 내장하고 있는 오픈 소스 프로젝트이다. 이 프레임워크 자체가 대충 만든 것이...
Keychain Forensics : Part III
물리 메모리 이미지와 키체인 파일 수집을 완료하면, 키체인 분석 준비가 끝난 것이다. 이번 포스팅에서는 키체인 구조를 이해함으로 물리 메모리에서 추출할 데이터가 어떤 것인지를 알아보고, 실제로 키체인을 분석하는 과정을 확인해보겠다. 키체인...
Keychain Forensics : Part II
이전 과정에서는 키체인에 대한 소개와 메모리 이미지 수집 방법을 알아보았다. 그 다음 단계로 키체인 파일이 저장되는 위치를 알아보고, 파일을 수집하는 방법을 고민해봐야한다. 키체인 파일은 어디에 저장이 될까? 키체인 파일은 크게...
Keychain Forensics : Part I
디지털 포렌식 분석을 진행 과정에서 사용자의 기밀 정보는 매우 유용한 정보 중 하나이다. 보통 사용자는 자신에게 불리할 수 있는 증거를 숨기기 위해 데이터를 암호화하여 보관하거나, 인증을 통해서만 접근 가능한 환경에...