Video Forensic Reporting 포렌식의 영역을 어디서부터 어디까지로 보느냐는 업무의 성격과 필요한 결과에 따라 달라질수 있겠지만 acquisition, analyzing, reporting 어느 하나만 해당되도 포렌식이라 할 수 있다. 비디오포렌식의 경우 CCTV, 셀폰 등에 저장된 비디오파일을 acquisition 하는 어려움이 많아 acquisition 자체만으로도 포렌식의 일부로 고된 작업으로 보고 있다. 그런데 몇번의 비디오 포렌식 과정을 통해 느낀 정말 난감한 작업은 레포팅이었다. 정지영상이 아닌 동적 영상에서 모션이 증거가 되는 (예, 프레임 1000 ~ 1400) 경우, 보고서에 이 장면을 어떻게 표현할 것인가가 힘들었다. 일단 해당되는 비디오 프레임을 짤라서 보고서에 삽입시켜..
http://www.eventlogxp.com/ Event Log Explorer™ is an effective software solution for viewing, monitoring and analyzing events recorded in Security, System, Application and other logs of Microsoft Windows operating systems. Event Log Explorer greatly extends standard Windows Event Viewer monitoring functionality and brings many new features.
Lima is a Police High Tech Crime and Digital Forensic Service providers business process, scheduling and Forensic case management tool. Lima a module based secure application designed from the ground up provides an all-in, end-to-end management solution, for both service providers and Police High Tech crime units internationally. Lima provides secure dynamic information sharing and collaboration..
CacheBack® features: Bookmarks now allow users to categorize various artifacts discovered during their analysis (new in Version 2.8 Beta RC2). New consolidated thumbail Gallery viewer displays thumbnails of cached web pages AND pictures! Accurately rebuilds cached web pages for all five top browers in just seconds! CacheBack currently supports IE (5-8), Firefox (2-3), Opera (9), Safari (3) and G..
Pros 한글 완벽지원 - 한국산이니 한글을 제대로 지원해야죠. HWP 포함 모든 한글 지원 한글 Interface - 한글 메뉴로 구성 MSOffice Repair 기능 - 자체 MS OFFICE파일 복구 기능을 갖추고 있어서 파일의 손상도를 체크하고 가능여부를 알려주며 복구 가능한 모든 포맷으로 복구하여 저장 Preview and Automatically Categorizing - 디스크 Preview 기능을 갖추며, 삭제한 파일 스캔의 경우 FullDisk Scan을 통해 모든 파일을 확장자별, 상태별로 카테고라이징 해 줌 Report 기능 - 보기 편한 레포트 포맷 Cons 키워드검색 결과 - 키워드 검색으로 검출된 파일만 table view에서 체크할 수 있는 기능 부재 홈플레이트 기능 - 폴더..
F-Reponse 를 이용하여 네트워크상 다른 시스템에 접속하면 마치 로컬 디스크처럼 연결되어 내 시스템상에서 EnCase, FTK, X-Ways등으로 손쉽게 이미징할 수 있도록(물론 Preview가능) 할 수 있음. EnCase에도 Network으로 연결할 수 있는 기능이 있지만 그닥 잘 먹는 편이 아니고, Helix처럼 호스트에서 서비스를 올려줘야 하는 번거로움이 없다. http://www.blip.tv/file/865437 한가지 특징은 이메일 서버와 같이 민감한 시스템에서조차 라이브포렌직이 가능하다는 점. 이메일서버를 셧다운 할 필요없이 active인 상태 그대로 메일 박스를 조사할 수 있도록 해 준다. So Cool~~~!!! http://www.blip.tv/file/1068126
While the 'CSI effect' has glamorised and highlighted the importance of forensics to the public, it bears little reality to the hard work, long hours and challenges faced by the analysts who extract evidence from digital devices. In the real world, police forces are experiencing major problems when it comes to ingesting, storing and analysing digital evidence. The amount of digital evidence that..
Netwitness Investigator Tutorial
Tut1. http://www.youtube.com/watch?v=QDxTPYn2O2g Tut2. http://www.youtube.com/watch?v=9AvkNUn6DPI Tut3. http://www.youtube.com/watch?v=mAJIIwzkUxU Tut4. http://www.youtube.com/watch?v=e7GFys5ri2s Packet based analyzer인 wireshark과는 달리 Netwitness는 세션단위로 Request와 Response를 보여주고 packet stream을 세션별로 합쳐서 보여주기도 한다. 수많은 Parser를 통해 필요한 정보를 분석하여 레포트해주기 때문에 관심 있는 값들에 집중하여 Drill 할 수 있다. 필터링 기능이 있고, 사용자 편의를 ..
Mandiant First Response
MFR(Mandiant First Response)은 Incident Response Tool로써 콘솔(서버)과 에이전트 사이의 네트워크 통신을 통해 에이전트에서 실행되고 있는 프로세스정보,포트정보, 레지스트리정보, 이벤트로그, 서비스정보, 작업, 파일정보를 콘솔로 보내주는 역할을 한다. 처음 콘솔을 설치하고 에이전트를 Deploy하게 되면 콘솔 설치시에 입력했던 패스워드를 기초로 Private Key가 에이전트에 복사되며 콘솔과 에이전트의 통신때 이를 이용하여 인증과정을 거치게 된다. Target system에서 에이전트는 데몬으로 실행되거나 서비스로 실행된다. 데몬일경우 서비스 인스톨 없이 가능하고 서비스는 -i -start 옵션으로 설치하고 실행하면 된다. 에이전트의 Audit 방법은 크게 3가지로..