'포렌식'에 해당되는 글 1건

  1. 2011.01.08 SANS 포렌식 툴킷(사이버 수사,증거를 찾아내자.)




SANS Investigative Forensic Toolkit Workstation v.2.0 

SANS에서 제공하는 이 툴킷은 각종 컴퓨터 내부에서 발생되는 각종 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업하는 용도입니다.

이 패키지는 라이브시디와 같은개념으로써,vmware에서만 별도의 시스템으로 동작되는 패키지입니다.
설치가 필요없습니다.vmware에서 이미지를 불러서,RUN만 해주면 바로 사용이 가능합니다.

*라이브시디란 별도의 인스톨 필요없이,부팅만으로 새로운 시스템을 사용 할 수 있습니다.
전세계에서 사용되는 라이브시디에 대해서,대용량 페이지로 다룰 예정입니다.

디지털포렌식 툴킷은 아래의 관련 화일 포멧을 지원하고 있습니다.
ExpertWitnessFormat (E01), 
Advanced Forensic Format (AFF), and 
raw (dd) evidence formats

"Ubuntu"를 베이스로 리눅스 OS로 구성되어 있습니다.
리눅스를 사용해본 유저이시라면,아래의 구성에 대해서는 쉽게 이해 하실듯..

* $ sudo su - o Use to elevate privileges to root while mounting disk images. PTK login 
* Login "admin" * Password "forensics" Host Machine Connectivity Enable SHARED FOLDERS 
* VM -> SETTINGS -> OPTIONS -> Shared Folders -> Always Enabled (Check) 
* Access to Host System Found on Desktop * VMware-Shared-Drive Access from a Windows Machine 
* Filesystem Shares \\SIFTWORKSTATION o or use ifconfig and connectto eth0 IP Address listed      (e.g.\\192.168.1.12) o /mnt - Mount point for read-only examination of digital forensic evidence o /cases 
- Directory to store evidence SIFT 


 Workst
ation Recommended Software Requirements

vmware만 설치되어있으면,작동합니다..
다운로드는 맨아래에 나와 있습니다.
아래의 파일 시스템을 다 지원합니다.
 * Windows (MSDOS, FAT, VFAT, NTFS) * MAC (HFS) * Solaris (UFS) * Linux (EXT2/3) 
특히 파일시스템을 사용 할때에는 read-only로만 사용하기때문에,증거물(하드디스크)는 
절대로 변하지(modified?) 않겠죠?


Evidence Image Support  (다양한 툴들이 제공됩니다)
* Expert Witness (E01) * RAW (dd) 
* Advanced Forensic Format (AFF) Software Includes
* The Sleuth Kit (File system Analysis Tools) 
* log2timeline (Timeline Generation Tool) 
* ssdeep & md5deep (Hashing Tools) * Foremost/Scalpel (File Carving) 
* WireShark (Network Forensics)
* Vinetto (thumbs.db examination) 
* Pasco (IE Web History examination) 
* Rifiuti (Recycle Bin examination)
* Volatility Framework (Memory Analysis) 
* DFLabs PTK (GUI Front-End for Sleuthkit) 
* Autopsy (GUI Front-End for Sleuthkit)
* PyFLAG (GUI Log/Disk Examination) Key Directories in SANS SIFT Workstation 
* /forensics o Location of the files used for the Autopsy Toolset 
* /usr/local/src o Source files for Autopsy, The Sleuth Kit, and other tools
* /usr/local/bin o Location of the forensic pre-compiled binaries 
* /cases o Location of your collected evidence
* /mnt/hack o Location of the mount points for the file system images

다운로드1(Sans investigation forensics toolkit)https://computer-forensics.sans.org/community/downloads
                                                                      (귀찮더라도 회원을 가입해야만,다운로드 가능합니다)


다운로드2(Vmware Trial version) https://www.vmware.com/tryvmware/?p=default
                                             (귀찮더라도 회원을 가입해야만,다운로드 가능합니다)

다운로드3. 완료후에는 반드시 파일검증을 해서,원본 화일인지 확인하셔야 합니다.
왜? 파일을 검증해야하나?    FBI,오픈소스에 해킹코드 '심었다"? -->요기를 누르세용 <--
파일검증 소프트웨어 다운로드 여기
      
아래는 동작화면입니다.로그인과 비밀번호는 다음과 같습니다.^^

* Login "sansforensics" 
* Password "forensics" 

저작자 표시
신고
Posted by 라라바스