Pros 한글 완벽지원 - 한국산이니 한글을 제대로 지원해야죠. HWP 포함 모든 한글 지원 한글 Interface - 한글 메뉴로 구성 MSOffice Repair 기능 - 자체 MS OFFICE파일 복구 기능을 갖추고 있어서 파일의 손상도를 체크하고 가능여부를 알려주며 복구 가능한 모든 포맷으로 복구하여 저장 Preview and Automatically Categorizing - 디스크 Preview 기능을 갖추며, 삭제한 파일 스캔의 경우 FullDisk Scan을 통해 모든 파일을 확장자별, 상태별로 카테고라이징 해 줌 Report 기능 - 보기 편한 레포트 포맷 Cons 키워드검색 결과 - 키워드 검색으로 검출된 파일만 table view에서 체크할 수 있는 기능 부재 홈플레이트 기능 - 폴더..
DB의 복구 가능 여부는? 다음의 경우에 불가능 그림 1: 테이블에 할당된 블록. (로우는 회색 사각형으로 표시됨) 그림 2: 일부 로우가 삭제된 후 (HWM은 변경되지 않았음) 그림 3: 재구성작업을 거친 뒤의 테이블 블록 그림 4: Shrink 작업 수행 후 free block이 데이타베이스로 반납된 결과 마지막으로 Eraser로 반납된 Free Block을 지워버리면 복구 불가능하다. 위의 경우는 DB가 삭제된지 얼마 지나지 않은 시간 후에 복구를 할 경우 적용된다는 점을 명시할 것. 오랜 시간이 지난후에는 대부분의 DB Records는 새로운 Records에 의해 덮어 씌어지게 됨. MSSQL의 경우 DB(.MDF) 자체만으로 복구는 불가능 함.
F-Reponse 를 이용하여 네트워크상 다른 시스템에 접속하면 마치 로컬 디스크처럼 연결되어 내 시스템상에서 EnCase, FTK, X-Ways등으로 손쉽게 이미징할 수 있도록(물론 Preview가능) 할 수 있음. EnCase에도 Network으로 연결할 수 있는 기능이 있지만 그닥 잘 먹는 편이 아니고, Helix처럼 호스트에서 서비스를 올려줘야 하는 번거로움이 없다. http://www.blip.tv/file/865437 한가지 특징은 이메일 서버와 같이 민감한 시스템에서조차 라이브포렌직이 가능하다는 점. 이메일서버를 셧다운 할 필요없이 active인 상태 그대로 메일 박스를 조사할 수 있도록 해 준다. So Cool~~~!!! http://www.blip.tv/file/1068126
Exchange, Lotus Domino, GroupWise와 같은 이메일서버의 메일박스를 조사할 경우 이메일 서버 제품군 종류 이메일 DB 백업 정책 서버군 종류 이메일 서버 Shutdown 가능여부 RAID? Total Volume? 사안이 중요하며, 압수된 후 또는 채증된 후 어떤 조취를 취했는지 반드시 확인할 것 Exchange 서버의 경우, Exmerge라는 유틸을 이용하여 EDB와 STM의 내용을 PST로 뽑아주는 기능이 있지만, 고질적인 PST 2 MB limitation이 존재하며, MS에서 개발한 개별유틸이 이 제한을 능가하나 Exchange 5.5 with SP1에서만 작동가능. Paraben Network Email Examiner를 이용하여 메일서버를 조사하는 것을 추천한다. EnC..
While the 'CSI effect' has glamorised and highlighted the importance of forensics to the public, it bears little reality to the hard work, long hours and challenges faced by the analysts who extract evidence from digital devices. In the real world, police forces are experiencing major problems when it comes to ingesting, storing and analysing digital evidence. The amount of digital evidence that..
OS가 설치될 때에는 먼저 File System이 생성되고 이후 OS가 설치된다. File System이 생성될 때에는 OS가 없기 때문에 시간정보를 BIOS에서 가져오고 OS가 설치되면 GMT 설정에 따라 BIOS +GMT 의 시간을 표시하기 시작한다. EnCase에서는 File System 생성시각이 GMT가 반영된 시간이라고 생각하기 때문에 +_GMT된 시간으로 표시해 준다. 예) File system 생성 시간 : 18:38 (GMT+9) OS 설치 완료 시간 : 19:50 (GMT+9) => EnCase 로 File System 시간을 보면 : 9:38 " OS 설치 시간을 보면 : 19:50 http://www.forensickb.com/2009/05/file-system-creation-da..
The Top Five Metasploit - Metasploit is an open source platform for developing and testing exploits. It's available for both Unix and Windows systems. This is a far more advanced tool than the others on this list, and requires more programming knowlege to run and use. The advantage is that a specific exploit can be fully demonstrated to exist, rather than noted as a potential vulnerability. This..
Netwitness Investigator Tutorial
Tut1. http://www.youtube.com/watch?v=QDxTPYn2O2g Tut2. http://www.youtube.com/watch?v=9AvkNUn6DPI Tut3. http://www.youtube.com/watch?v=mAJIIwzkUxU Tut4. http://www.youtube.com/watch?v=e7GFys5ri2s Packet based analyzer인 wireshark과는 달리 Netwitness는 세션단위로 Request와 Response를 보여주고 packet stream을 세션별로 합쳐서 보여주기도 한다. 수많은 Parser를 통해 필요한 정보를 분석하여 레포트해주기 때문에 관심 있는 값들에 집중하여 Drill 할 수 있다. 필터링 기능이 있고, 사용자 편의를 ..
Mandiant First Response
MFR(Mandiant First Response)은 Incident Response Tool로써 콘솔(서버)과 에이전트 사이의 네트워크 통신을 통해 에이전트에서 실행되고 있는 프로세스정보,포트정보, 레지스트리정보, 이벤트로그, 서비스정보, 작업, 파일정보를 콘솔로 보내주는 역할을 한다. 처음 콘솔을 설치하고 에이전트를 Deploy하게 되면 콘솔 설치시에 입력했던 패스워드를 기초로 Private Key가 에이전트에 복사되며 콘솔과 에이전트의 통신때 이를 이용하여 인증과정을 거치게 된다. Target system에서 에이전트는 데몬으로 실행되거나 서비스로 실행된다. 데몬일경우 서비스 인스톨 없이 가능하고 서비스는 -i -start 옵션으로 설치하고 실행하면 된다. 에이전트의 Audit 방법은 크게 3가지로..