필요한 툴 IP실제 위치 - PyGeoIP 라이브러리 패킷 캡처 - PyPCAP 패킷 분석 - Dpkt HTTP악성 트래픽 분석 - CapTipper 트래픽 시각화 Networkx - 노드 시각화 MatPlotlib - 그래프

/Library/Caches 앱 캐시 데이터. 각 앱은 앱이름과 번들 이름이 매치되는 서브디렉토리에 캐시가 저장된다. App 이름: Camera, 번들 이름 : com.apple.Camera 라면, 캐시 파일은 /Library/Caches/com.appl.Camera/에 저장된다. /Library/LaunchDaemons root권한으로 실행시킬 데몬을 정의한다. LaunchAgents : 현재 로그인한 사용자의 권한으로 실행시킬 특정 에이전트 앱 Logs : 콘솔과 특정 시스템 서비스에 대한 로그 파일. 사용자도 볼수있음 RegionFeatures : 기기에 대한 공유 dll /etc/racoon: racoon 이란 IPsec의 IKE 키관리 데몬이다. racoon.conf는 racoon의 ISAKMP..

아이폰을 포렌식하기 위해서 꼭 탈옥(jail breaking)을 해야 할까? 그렇다. iPhone 까지는 탈옥이 전혀 필요하지 않았다. 이때까진 설사 폰이 잠겨있다고 해도 장치를 완벽하게 이미징 뜰 수 있었고, 비밀번호도 쉽게 뚫을 수 있었다. 게다가 애플이 공식적으로 수사에 협조하기도 했다. 하지만 아이폰5s, 즉 iOS8부터 애플이 데이터 보호에 관심을 갖기 시작했고, 대부분의 데이터가 암호화되기 시작했다. 애플이 수사기관에 정보를 제공하지 않은 것도 이때부터였다. 따라서 현재 시점에서는, 탈옥을 하지 않고 파일시스템을 추출해봤자(접근도 못하지만) 거의 암호화되어 있어서 쓸모가 없다. 현직자에게 물어봤다. 증거능력을 결정하는 것은 exploit 이나 탈옥의 유무가 아니라 사용한 도구가 법적으로 신뢰받..

개요 HFS+는 계층적 파일 시스템으로, 블록크기는 512바이트다. HFS에는 논리블록과 물리 블록 두 가지 타입이 있다. 논리블록은 볼륨의 처음부터 끝까지의 주소가 저장된 블록이다. 즉, 데이터 할당을 위해 있는 블록은 아니다. 실제 데이터 할당은 할당블록에서 이루어진다. 할당블록은 논리블록의 그룹이다. HFS+의 할당블록 번호는 32bit로, 16bit였던 HFS보다 볼륨에 더 많은 블록을 할당할 수 있다.(2^32개) 할당블록에서는 파일 접근을 빠르게 하고 데이터의 단편화를 최소화하기 위해 할당블록을 그룹화하고 통합하는 작업이 필요한데, 이 때 그룹의 단위를 'clump(클럼프)'라고 한다. 클럼프의 크기는 Volume Header에 정의되어있다. 아래에서 살펴볼 HFS의 구조에서 대부분의 파트는 ..

iOS 파일시스템 개요 애플은 2016년 이전에는 HFS+를, 2016년 이후부턴 APFS를 사용하고 있다. HFS+는MAC OS 8.1 버전(1998)년도부터 도입된 파일 시스템으로, HFS를 약간 개선한 버전이다. MAC OS Extended라고도 불린다. HFS가 플로피디스크와 하드디스크를 주로 사용하는 환경에 맞추어진 만큼, 여러 보조저장장치를 활용하는 (그때기준)차세대 기기에는 부족한 면이 있었고, HFS가 처음 설계되었던 시점에서의 보안과 개인정보보호에 대한 인식이 많이 달라졌기 때문에 새로운 파일 시스템이 필요하게 되었다. 그렇게 HFS+가 등장했다. HFS+는 파일단위 암호화 기능, 디스크 암호화 기능을 지원하며 기존 파일 매핑 테이블 크기가 16bit로 32bit로 확장되면서 좀 더 큰 ..

모바일 포렌식이란? 디지털 포렌식의 한 분야로 휴대폰, 태블릿, MP3기기 등 모바일 장치로부터 디지털 증거를 수집하고 분석하는 것 디지털 포렌식 5대 원칙(형사사건 기준) 정당성 : 정당한 방식으로 증거 수집. 불법적으로 수집한 증거는 증거로 채택될 수 없다. 무결성 : 수집된 증거가 위변조되지 않았음을 증명할 수 있어야 한다. ex)hash 재현성 : 동일한 조건, 환경에서 결과가 항상 같아야 함 연계보관성(Chain Of Custody) : 증거 수집-제출 일련의 과정에서 담당자를 명확히 해야 함 신속성 : 일련의 과정이 신속하게 수행되어야 함. 일부 휘발성 데이터는 시간이 지나면 사라짐 모바일 포렌식의 어려움 위 디지털포렌식 5대 원칙 중, 모바일 포렌식에서는 특히 무결성의 원칙이 지켜지기 매우 ..