zone-h.kr에 isaca site 가 떴다..

15,16일 연속으로 게시되어 있네요...




isaca page 가봤더니 아직 별다른 공지는 없는듯..
대표 메일로 알려드렸습니다.

KISA 공지사항에는 아직까지 DDos 공격 관련해서는 내용이 없군여..

다른 site들은 팝업도 띄우던데..ㅡㅡ;;

KISA 보도자료에 관련 내용이 있네요...

KISA에도 공지사항이랑  팝업이 떠야 하는거 아닌가 싶네요..



그렇다면 상위기관(맞죠?)인 방통위도 없나 싶어 가봤다...



8일자 공지사항에 있네요..

아침 출근길에...손석희의 시선집중을 들었습니다...

마침 안철수 김흥선 사장님과 인터뷰가 있더군요...

어제 오늘 계속 되는 DDos 공격으로 인해...이슈가 되긴 했나봅니다..

전시간대에 전자신문 기자분과 인터뷰도 한거 같던데..

인터뷰중 손석희씨가..좀비 PC 체크하는 방법에 대해 언급하면서..

"보호나라"에서 좀비여부 체크 가능하다 라는 말을 햇는데..

김흥선사장님이 보호나라에 대해서 잘 모르는듯한 뉘앙스의 어투로...

안철수 연구소 홈페이지에서 전용백신을 받아 체크해보라고 얼버무리셨습니다..

공사 다망한분이라 보호나라를 모르실수도 있는거겠지만...흐..왠지..좀....


안랩에서 1차공격에 이어 2차 공격에 사용된 악성코드까지 치료하는
  전용 백신 새벽에 개발 완료해서 배포한다고 알려주셨으니..빨리 다운받아  감염 유무 체크해보세요..


아, 언제쯤 조용해질까요..저희 회사 관련 서버들 좀 점검해봐야할라나여...

관계자 여러분들 고생 많습니다..해결될때까지 모두 화이팅입니다.~~

아침에 출근길 라디오에서 국내외 주요 site들이 해킹 당했다고해서..
깜짝 놀라 라디오 볼륨을 키웠습니다.


만만한 site들이 아닌데 해킹???? 
다행(?)히 DDos 공격을 받았다고 하더군요...
언론에서는 표현을 좀 가려해서 해야할듯합니다.

회사 출근하고 처음 접속한곳은 KISA...
별말이 없네여..
해서 다시 찾은곳은 인터넷 침해사고 대응지원센터 입니다..
site 접속이 느리네요..(음..아직도인가..??)


site 들어가면 늘쌍 경보단계가 그린색상으로 안전함을 알려주던 신호등이 오늘은 주의단계로 황색이네여…흠..역시..먼일이 있나부다..

최근에 “주의”는 처음 보는듯합니다..

7월 8일 09:14 현재 보안인카페를 뒤져보니  쿨캣님의 블로그에 관련 내용이 포스팅 되어 있다는 글이 있네요...참조하시구요.. Twitter 가봤떠니 보안인카페쥔장인 엔시스님의 포스팅도 보이네여.. 어제 MS 윈도우즈 MPEG2TuneReuqest ActiveX 제로데이 취약점 주의 나온뒤 바로 일어나는 사태라...연관이 있는지는 모르것지만..까마귀날자 배떨어진다고...흠.... 아님...영화 같은데서 보면 누구 추모한다고 대규모로 공격(해킹)하고 그러는데..혹, 마이클잭슨 장례식이랑 연관이 있낭..아침 라됴서 마이클잭슨 장례식이뤄졌고 추모행사가 있었다고 하는뎅..시간이 좀 안 맞넹..장례식은 우리나라 시간으로 자정에 이뤘다는뎅..흠..그뒤에 추모행사고... 흠..좀 있으면 원인이 밝혀지것지만.. 아마 뉴스보고 해당 site들은 진짜로 접속 안되는지 접속 test 해보는 사람들때문에 또 트래픽은 좀 늘겠넹.. 그러지말고 본인들 PC를 백신업데이트후 점검해보는건 어떨런지..

출처 : Krcert

□ 개요   o 마이크로소프트 윈도우즈의 비디오 스트리밍을 위한 ActiveX 컨트롤에 원격 코드 실행 취약점이      존재함[1,2]   o 현재 해당 취약점을 통해 공격하는 사례가 급증하고 있음으로 사용자는 신뢰할 수 없는 사이트의      방문을 자제하고 해당 ActiveX 컨트롤을 사용할 수 없도록 설정 □ 설명   o 마이크로소프트 윈도우즈의 비디오 스트리밍을 위한 ActiveX 컨트롤(msvidctl.dll)의 버퍼플로우      취약점   o 마이크로소트프는 본 취약점에 대해 Security Advisory를 발표함 [1]   o 공격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행으로      로그인된 사용자의 권한으로 원격 코드 실행을 할 수 있음      ※ TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤을 통해 버퍼오버          플로우를 일으킴      ※ 관련 CLSID : 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF 외 44개 [1]      ※ 관련 CVE : CVE-2008-0015 [5] □ 영향 받는 시스템   o 영향 받는 소프트웨어      - Windows XP Service Pack 2 and Windows XP Service Pack 3     - Windows XP Professional x64 Edition Service Pack 2     - Windows Server 2003 x64 Edition Service Pack 2     - Windows Server 2003 with SP2 for Itanium-based Systems   o 영향 받지 않는 소프트웨어     - Microsoft Windows 2000 Service Pack 4     - Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2     - Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista        x64 Edition Service Pack 2     - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems        Service Pack 2     - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based        Systems Service Pack 2     - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-        based Systems Service Pack 2 □ 해결 방안   o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음   o 임시 해결방안 적용 [3]     - Microsoft 기술 자료 문서[3]에 "나를 위한 수정" 섹션의 "해결 방법 사용" 아래 링크를 클릭       하여 파일 다운로드 후 설치       ※ 원상태로 복구하기 위해서는 "해결 방법 사용 안 함"을 적용   o KrCERT/CC와 MS보안 업데이트 사이트[4]를 주기적으로 확인하여 해당 취약점에 대한 보안     업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동 업데이트를 설정     ※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함     - 신뢰되지 않는 웹 사이트의 방문 자제     - 출처를 알 수 없는 링크를 방문하지 않도록 함 □ 용어 설명   o ActiveX : 일반 응용프로그램과 웹 사이트를 연결하여 인터액티브한 웹 서비스를 제공하기 위한      기술 □ 참조 사이트 [1] http://www.microsoft.com/technet/security/advisory/972890.mspx [2] http://www.securityfocus.com/bid/35558/info [3] http://support.microsoft.com/kb/972890 [4] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko [5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0015

개인 웹 메일 필터링에 아웃룩 업데이트 관련 메일이 있네요..

수상타 생각하고 좀 찾아 봣떠니..

http://blog.ahnlab.com/asec/tag/MS
http://www.sophos.com/blogs/sophoslabs/?p=4889
http://www.boannews.com/media/view.asp?idx=16743&kind=1

조심들 하세요~!!!

자칫하면 속아 넘어갈듯합니다.

10일 회사 산행 대회에 이어 바로 외부 세미나 참석하기가..멋했지만..강행했슴다..
아..교육훈련 근태 내놨는뎅..

회사에 잠시 들어갔다가 가게되서리...9시 40분쯤 도착한거 같네요...
이미 많은 사람들이 와있더군요..^^;

등록하고 휘릭~ 봤떠니..역시 아는사람은 안 뵈네여..ㅋㅋㅋ
일단..오후 세션을 B세션(기업정보보호)을  들으려고..B세션(입구에)라고 적혀 있는곳으로 들어갔는데..
탁자 있는 곳은 이미 사람들이 자리를 대부분 차지했네여..

혼자라 가벼운 마음으로 빈자리에 앉았슴다...
첫번째 세션 발표자인 김지훈 팀장(안랩 - cissp협회 간사님인데..)이 준비하는 모습이 간간히 보이더군요...

제가 10회였나요? 창립 10주년 기념으로 무료일때 참석한걸로 알고 있는데..
ㅎㅎ 벌써..4회나 더 지났나 싶더군여...그간은 유료라..ㅋㅋ

10시가 되자 김지훈님의 해킹방어시연 " conficker vs security, know your enemy 라는 주제로 발표가 시작되었습니다. ppt에 많은 노력을 들으셨더군요..
conficker 에 대해서는 많이 듣기는했는데..그닥 피해가 없어서인지...별 관심이 없었는데..
세션을 통해 좀 알게된 계기가 되었습니다.

두번째로 구사무엘님의 "안전한 인터넷 세상을 위한 해커의 역할과 책임"이라는 발표가 이어졌습니다.
해커에 대한 정의서 부터해서 최근 해커들의 추세(무료 취약성 공개 대신 유료 취약성 공개형태)를 말씀하시면서
기업들의 태도에 대해서 좀 꼬집는듯한..아직 어린 나이임에도 불구하고 많은 청중들 앞에서 말 잘 하더군요...자신감의 표현이겠죠..^^;

강의 종료후 앞자리에 있떤 누군가(나이좀 들어뵈시던데..귀빈이였는지는 잘모르겠네요..^^; )와 명함을 주고 받던데..
원래는 휴식이 이어졌어야 하는데..바로 다음세션으로 이러지더군요..

국정원에서 나오신이 정부제1발표를 하셨는데..간략하니 귀에 쏙쏙들어오게 잘 하시더군요..
그런데..왜 기억은 안날까요..ㅋㅋ
국정원 분이라 사진 찍는거에 대해서 언급하시더군요...사진 찍으시면 안된다고..^^;;

"미래 사이버 안보 위협 대응전략 제안"이라는 주제였는데..
2003년인가 국가 사이버 안보전략이(?)이 있었다는데..
이제5년이 지난 시점에서 환경도 많이 변경되고 했으니 다시 한번 전략을 수정해야하지 않겠냐면서 말씀하시더군요.
주변국들의 전략(특히 미국의 사이버사령관을 언급)들도 간략히 보여주셨고..대부분 방어적인 전략을 내세우지만 이면으론 공세적 입장도 있지 않겠냐면서....^^;

두번째로 방통위 정재훈 사무관께서 "인터넷 정보보호 정책방향"이라는 주제로 발표하셨네요..
방통위 출범후 인터넷 침해사고 대응체계 강화 / 개인정보보호 수준 고도화/ 건전한 인터넷 이용환경 조성등이 성과와 향후 중점 추진 과제로 선진화된 정보보호 대응체계 / 이용자 중심의 정보보호 정책 추진 / 국민체감형 정보보호 서비스 제공/ 미래융합 it 서비스 안전체계를 마련하기위해 노력한다고 합니다..
아무래도 전문 강사가 아니시라 강의 중 목소리가 좀 작으신듯...

정사무관님의 세션을 마지막으로 오전 세션 종료 되면서..
걔회식이 이뤄졌슴당...

귀빈 입장 & 국민의례에 이어...황중연 정보보호 진흥원장님의 개회사...
사이버 안전센터 처장님의 축사..
방통위 네트웍 정책 국장님의 격려사가 주욱~~ 이어졌습니다..

앞자리에 귀빈분들이 10여분 앉으신듯한데..누군지는..잘..
얼굴 아는분은 정태명 교수님이 계셨는거 같네여..(교수님은 절 모르겟쬬..ㅋㅎㅎ)...
쩝...아는사람이 넘 없어서..ㅋㅋ

짧은 개회식을 마치고 점심 먹으로 나갈때..
아..이전회사서 같이 근무하시던 과장님(아..보니까..이제 부장님이시더군여..하긴..저도..ㅋㅋ)뵙습니다..

B트랙 들으신다고해서..나중에 뵙기로하고..지하 1층 제라드룸(?)인가로 갔슴당..
사람이 원체 많아서 원래 준비한곳보다 좀더 넓힌듯...

식사 매뉴는 갈비탕였는뎅..
아..모르는 분들 8명하고 죽은듯이...식사햇슴당..ㅋㅋㅋ

옆에 왠 여자분이 앉으셨는뎅..
자꾸 손이 닿길래..왜그런가 봤떠니..왼손으로 식사를..^^;;;
식사하기가 많이 불편하셨는지...밥도 남기시고...갈비탕 고기도 남기시고..쩝 나갈때 괜시리 죄송하더군여..냠..


식사 마치고 파란바람님과 니뽕맨님을 만났쬬...
니뽕맨님은 첨 뵙는데..호남이시더군여..^^;
잠시 얘기 나누다...니뽕맨님은 A트랙..저랑 파란바람은 B트랙으로..

B트랙에 갔떠니..아까 만나뵙던 과장님이 계씨더군요..^^;
서로 명함 교환하고...ㅋㅋ 세션 들었슴당..

세션은..기업정보보호 세션으로..
mobile security 현황과 통신 사업자 대응방안라는 주제로 SKT 이기혁 팀장님이..스타트하셨슴당..


첨예상했던거와 틀렸슴다..주된 내용이 스마트폰 관련내용이네요..^^;;
스마트폰 특성에 따른 위험, 개인정보 침해 및 대응 방안, 스마트폰의 오픈마켓의 위험성에대해서...
말씀 주셨슴당..자세한건 스캔해서 올리니 참고하시고요..

두번째로..A3 전상미 연구소장님의 개인정보 영향 평가 방법론과 구축사례에 대해서 발표하셨슴당..
주로 기업환경에 따른 PIA(Pirvacy Impact Assessment)에 적용사례위주로 말씀 하셨는데요..
사례라 일일이 말씀드리기는..좀 멋하네여..^^;

마지막에 보면..
개인정보 영향 평가 수행시 애로사항이 나오는데요..참고적으로 몇개 적어드리죠..

영향평가 수검자 입장에서..
난 보안을 불구하고IT도 잘 모르는 현업 PM이다..
신규 시스템 구축하는것만으로도 바쁜데, PIA 업무는 너무 힘들고 시간낭비도 오래 걸린다..
.....
당장!!사업하는것이 중요하지 PIA를 수행하지 않았다고 사업 OPEN에 지장간다는게 말이되냐..


영향평가 수행자 입장에서...
난 보안 담당자로 PIA를 수행한다..

PIA를 반디시 받아야한다고 현업 PM을 설득하기 너무 어렵고 조직 전체적으로 강압적으로 밀어 붙이기도 어렵다.
..
PIA의 보안대책을 왜? 어떻게 ? 해야하는지 현업 PM들에게 이해 시키기가 어렵다...

그리고..기업 차원의 지원상에 대해서 언급하면서 마무리하셨네요..^^

infomation security govemance and seurity 2.0 에 대해서  KISA의 장상수 팀장님이..
전반적으로 설명이 너무 장황하셔서..마지막에 시간이 좀 부족하셨네요...

정보보호관리체계, 정보보호 거버넌스, security 컴플라이언스의 연계를 통해서 정보보호가 변화하는 비즈니스 환경에 능동적으로 대처하도록 진화하기 위한 전략을 security 2.0이라 정의하시더군요..
이어 정보보호관리체계 , 정보보호 거버넌스, security 컴플라이언스에 대해서 설명하시고..
security 2.0 구현방안에 대해 정리하셨습니다.

정보보호 경영이라는 사고의 전환과 정보보호와 비즈니스의 연계, scurity 컴플라이언스 준수 및 내부통제 강화, security 2.0 구현 지침 및 표준모델개발을 통해서 security 2.0 시대에 대응하자고 마무리 하셨슴다..

중간 쉬는시간에 C트랙도 좋을거 같아서....C트랙으로 자리를 옮겼슴다..
파란바람이 배고프다고 해서..잠시 백화점쪽에 가서..롯데리아 찾아서..
햄버거 한개 뚝딱..ㅋㅋ

먹고 올라오니 막 세션 시작했더군요...
C트랙의 두번째는 정보보호 기술 세션으로..
첫번째로 정보보호 솔루션의 reconstruction이라는 주제로 어울림정보기술의 박재경님이...
정보보호 솔루션 초창기 도입시 체계적인 컨설팅 없이 도입함으로
중복 투자 및 이기종간의 일관성없는 보안정책등으로인해 정보보호 솔루션의 reconstruction의 필요성에 대해 역설하셨슴당...말씀 잘 하시더군여..^^

두번째로... ETRI의 장범환 연구원님의 직관적 보안상황 인지 기술과 전망이라는 주제로..
본인이 2년이상 우려 먹고 있따고 서두에 언급하시던데..ㅎㅎ
듣다보니 대부분 작년 올해 상용화 된듯하더군요...

보안 관련 많은 정보를 신속하고 쉽고 정확하게 시각적으로표시하는게 연구 목적이신듯..
많은 좋은 솔루션을 이미 개발 하셨더군요..^^;
발표 내용 관련해서 amtrac.etri.re.kr  참고하시면 될듯합니다..

마지막으로 어플리케이션 가상화와 보안이라는 주제로 구사무엘님이 발표하셨슴다..


가상화라는 개념이 추가되므로 추가되는 새로운 취약점 역시 존재한다며...
milw0rm에서 이미 vmware 관련 내용이 공개 많이 되었따며...
보안에 대해 미리 신경써서 찾고 해결할 필요가 있다며 마무리하셨슴당..

마지막 세션 마치고..
바람이는 와인사러 방이동 간다고해서..먼저 집으로..^^;

제생각에 이번 정보보호 심포지움에서 특이할만한 사항으로는..

청소년교육을 위한 트랙, 포렌식 트랙, 스마트폰에대한 세션등이 다뤄진게 특이하다 생각되더군요..

CFE란?

CFE(Certified Fraud Examiner) 는 각종 fraud와 화이트칼라 관련 범죄를 예방, 적발, 조사하는 공인된 전문가로서, 현재 전세계적으로 70여개 국에서 약 25,000명이 활동하고 있다.  CFE는 주로 회계사, 감사인, 법조인, 공무원, 교수, 범죄관련 전문기관 전문가들로서, 정부기관, 대기업, 법률기관, 범죄관련 전문기관 (미국의 경우 SEC, CIA, FBI, INS, IRS, FinCEN…) 회계법인 등에서 활동하고 있다.  

 

CFE의 50% 이상이 CPA 자격증 소지하고 있으며, CFE 자격 취득에 상당히 까다로운 각종 조건이 요구되며, 자격 유지를 위하여 매년 일정 교육을 이수함은 물론 엄격한 윤리강령을 준수하여야 한다. CFE는 fraud 관련 범죄수사 분야에 있어 최고의 전문가로 인식되고 있으며, 미국의 경우 fraud 및 화이트칼라 범죄 수사관의 경우 CFE 자격 취득을 당연시하고 있다.  미국 ABC 방송을 비롯한 주요 언론기관들이 ACFE를 fraud 예방 및 적발 분야 최고의 기관으로 인정한 바 있다.  

 

CFE는 회계, 금융, 법률, 정보기술의 각종 지식을 총망라한 21세기에 적합한 전문 자격증이라고 할 수 있다.

 

  CFE 도입의 기대효과

 

국제적으로 최고의 fraud 관련 전문기관으로부터의 전문가 자격 인정
해당 분야 전문가로서의 직업에 대한 자부심 고취
전문가간의 네트워크 구축
외국기관의 업무협조에 용이
분산된 전문지식의 교류 및 공유를 통하여 체계화된 fraud 관련 지식의 획득 및 자기개발
전세계 fraud 관련 전문기관, 소프트웨어, 솔류션, 컨설팅 업체 소개
조사결과의 대외 신뢰성 제고
지속적인 직무연수를 통한 자기발전
자격증 제도를 통하여 일반 국민의 fraud에 대한 인식 제고  

 

현재 CFE 자격은  

 

일정 요건 (점수제에 의하여 50점) 이상을 갖춘 전문가가 CFE 자격시험을 합격할 경우 인증합니다.  

 

CFE 협회와 협의한 결과 한국에서 CFE 자격시험 응시자가 많고 정부 등 각종 기관의 협조요청이 있을 경우, 한국형 CFE 자격시험제도 실시의 가능성에 대해 긍정적 반응을 얻었습니다.  

  

CFE 자격 조건

도덕성을 갖춘 사람   
일정한 수준 이상의 교육과 경험을 갖춘 사람 (특정학위는 필요하지 않음)
최소한 2년 이상의 직접, 간접적인 Fraud의 적발과 방지에 관련된 경력
준회원에 가입한 자
CFE 자격시험을 통과한 자 혹은 자격시험면제를 인정받은 자
매년 직무연수를 수료 (CPE)
연회비를 납부
CFE협회의 내규와 직업윤리규정을 준수  

 

  경력 해당 분야

회계 및 감사: 공인회계사, 공인정보시스템감사사, 공인내부감사사 등
범죄학 및 사회학: 사기와 화이트칼라 범죄/사회학에 관한 연구자나 교육 전문가
Fraud 조사: 경찰, 형사, 변호사 등 사기범죄 사건 조사 경험자 등
손실 방지: 보안 전문가, 보안 컨설턴트 등
법: 검찰, 변호사 등

만약 위의 어느 곳에도 해당되지 않으나, 하시는 일이 Fraud의 조사, 적발, 방지에 관련 된 것이라면, 해당 경력을 상세하게 기술한 내용을 함께 보내주시기 바랍니다.  

 

  CFE 자격시험 (Uniform Examination)

 

CFE 자격시험 신청비는 미화 250달러입니다.  신청자는 CD-ROM으로 된 CFE 매뉴얼 제3판과 시험준비자료목록을 받게되면, 자동적으로 1년간 자격증서을 받게됩니다. CFE자격시험를 신청하기 위해서는 점수제에 의한 평가점수 최소 50점이 요구됩니다  시험준비가 끝나서 시험신청을 하면 협회는 시험문제를 CD-ROM을 보내드립니다.

 

CFE 자격시험신청서

　

CFE 자격시험은 4가지 분야인데 (Fraudulent Financial Transactions, Legal Elements of Fraud, Fraud Investigation, Criminology and Ethics), 각 분야별로 125문제, 총 500문제가 출제되며, 각 분야별로 75점 이상을 획득하여야 시험을 합격합니다. 시험은 2년 내에 3번의 기회가 주어지며, 실패한 분야만 재시험을 치르면 됩니다.

 

시험시간을 각 분야별 2.5시간, 총 10시간이며, CD-ROM을 최초로 읽은 날로부터 30일 내에 시험을 완료하여야 합니다.  미국 전문가를 기준으로 최소한 100시간의 시험준비 기간이 필요하다는 것이 협회의 견해입니다.

 

직무연수 (CPE 학점)

 

모든 CFE는 협회나 Korea Chapter의 각종 교육 프로그램을 통하여 매년CPE 20학점을 얻어야 자격이 유지됩니다.

 Korea Chapter에서 주관하는 프로그램으로 매년 20 CPE 학점을 취득할 수 있습니다

　

본인의 CFE 자격점수

　

10점은 다음에게 주어집니다.  

1년간의 공식적인 대학교육 (예를 들어, 학사학위는 40점, 최대 40점)
공인된 자격 (CPA, CIA, CPP)*
박사학위 혹은 동등한 학력 (Ph.D, JD) 

5점은 다음에게 주어집니다.  

1년간의 Fraud에 관련된 분야에서 일한 경력 혹은 동등한 경력
석사학위 혹은 동등학력  

* 자격은 공인회계사, 변호사, 공인세무사,변리사 등 사회에서 일반적으로 전문성이 인정되어야 함**  경력은 회계, 감사, 범죄-수사관련업무, 부정-사기 관련업무, 부정-사기 관련법 업무만 해당

     석사학위소지자, 회계파트3년, 감사실 3년근무한 감사실장의 경우, 40점+5점+5*6년=75점

출처 : http://www.kcfe.or.kr   

 오늘은 encase를 이용해서 주어진 이미지에서 recover folder 및 삭제 파일 확인 및 헤더값 변경 & 확장자 변경 된 파일을 찾는 법까지 확인 해본다.

1.데모버전으로는 case 생성이 안되므로 데모와 같이 제공된 이미지를 이용하여 분석하기로한다.
제공된 이미지를 불러 들인 현황 (hunter xp)

참고> 주어진 이미지 추가하는 방법
아래 그림에서는 비활성화 되어 있지만..
ADD Device -> Evidence File -> New -> 파일 선택 후 다음 클릭후 마침 선택하면
자동적으로 Verify가 진행되며 Verify 된 값을 확인하여 원본 이미지와 Verify 된 이지미 HASH 값 확인하여 분석 보고서에 기입해야합니다.(사본에 대한 무결성 확인)

2. Recover folders 를 실행함.

3. is Deleted tap  및 Description 위치를 조정한다..(아무래도 한 화면에 보기 용이하게 하려면...)
전체 이미지에서 삭제된 파일을 파악하기 위해 is Deleted tap을 클릭하여 Sorting 한다..
삭제된 파일을 한눈에 파악 가능한다.(보고서에 몇개의 파일 및 폴더가 삭제 되었는지 기록 한다.)
overwritten 되지 않았으면 복구 가능하다.

추가적으로 헤더값 변경이나, 확장자 변경을 찾기 위해서 Search 클릭 -> Verify file Signature 체크하여 Start 시킴

화면 우측 상단에 진행상황에 대한 내용이 표기 되며 완료 되면 아래와 같음

Signatur 을 보면 !band Sinaguture , *compond documnet 등의 형태가 보일것이다. 내용은 다음과 같다.

!bad Signature : 파일 헤더값 변경
*compond documnet : 파일 확장자 변경


다음 포스팅은 이번 포스팅에서 찾은 삭제 파일복원 및 헤더값 변경 및 확장자 변경된것을 복원 시키는 과정을 살펴 본다..