'-')!b

스마트 피트니스 장치는 점점 증가하고, 범죄 수사에서 널리 사용되고 있다. 그 중 애플워치 및 아이폰 피트니스 앱은 운동이나 위치 정보와 같은 다양한 디지털 증거가 포함되어 있다. 이에 본 논문에서는1. 관련된 DB에 대해 가능한 완전한 구조 설명과 SQLite 쿼리 기반 접근 방식을 제공한다. ex. DB에서 위치 데이터를 추출하는 쿼리 2. iOS 16 도입으로 인해 DB 구조가 크게 변경됨을 언급한다. 3. 실제 데이터를 기반으로 시나리오를 제시한다. 4. 또한, 기기를 기반으로 한 데이터가 완전히 정확할 수는 없기 때문에 상황에 맞는 부가적인 해석이나 OSINT 기법이 필요함을 강조한다. 애플워치와 아이폰의 기본 앱: Apple Health관련 DB: healthdb_secure.sqlite기록되..

암호화폐는 분산형 시스템과 익명성으로 범죄 자금 은닉 및 세탁에 자주 사용된다.특히, 이를 보관할 수 있는 하드웨어 지갑의 사용률이 증가 중이지만, 이를 추적 및 분석하는 툴이 없기 때문에 수사에 어려움이 존재한다. 따라서, 디스크와 메모리에 기록되는 하드웨어 지갑 사용과 추적 관련 아티팩트를 분석하고 이를 추출하는 Volatility 플러그인을 개발하여 수사에 기여한다.  암호화폐 소유 방법에는 직접 채굴, 거래소에서 구매(채권) 등이 있는데, 거래소를 이용할 경우, 추적이 용이하다.따라서 자신이 직접 소유할 수 있는 하드웨어 지갑 사용률이 증가하고 있다.추가로, 하드웨어 지갑 전용 PC 앱이 존재해서 사용자는 거래소 이용 없이 앱으로 거래가 가능하고, 다른 암호화폐로 교환하는 스왑 기능도 제공하는 등..

요약메신저를 통한 동영상 유포 시 추적을 위함메신저가 삭제된 상태로 영상이 발견/복구될 때 영상의 출처 및 유포 경위 등을 판단하기 어려움  1) 메신저로 전송된 영상의 인코딩 특징2) 파일명, 시간 정보 등으로부터의 유포 메신저 정보 획득 방안 제시3) 추적 수사기법에 활용 및 삭제된 메신저에 대한 증거자료 확보 서론스마트폰을 이용한 성범죄 사건(불법 촬영 범죄, 리벤지 포르노, 성착취 영상물 제작 및 유통, 유포 등) 급증 전송 시, 스마트폰, PC 등에서 메신저 앱/프로그램 사용 대다수 메신저를 통해 영상이 전송될 때 인코딩으로 인해 파일명, 사이즈, 구조 등이 원본과 다르게 변경됨메신저가 삭제된 상태로 영상이 발견/복구될 때 영상의 출처 및 유포 경위 등을 판단하기 어려움  1) 메신저로 영상 전..

모바일 기기에서 생성된 비디오 컨테이너의 구조와 소셜 네트워크, 인스턴트 메시징 애플리케이션을 통해 공유되거나 편집 프로그램에서 조작될 때의 동작을 분석하는 데 기반 영상의 컨테이너를 기반으로 영상의 무결성을 검증하고, 출처를 식별하고, 원본 영상과 조작된 영상을 구별하는 것이다.  3. 멀티미디어 컨테이너 구조 분석영상의 무결성 검증, 출처 식별, 원본 영상과 조작된 영상 구별을 위한 기술 제안1) 원본 및 조작된 영상 데이터 세트 준비- 모바일 기기 86개에서 생성된 1,957개의 원본 영상 세트 생성 - SNS에서 공유된 영상 세트 생성 - 인스턴트 메시징 애플리케이션(페이스북, 왓츠앱, 텔레그램)으로 생성된 영상 세트 생성 - 편집 프로그램으로 생성된 영상 세트 생성 2) ATOM 추출 알고리즘을..

문제- 수사관이 iCloud 계정에 로그인할 수 있다면, 이와 연동된 다른 Apple 서비스에 접근 가능하여 수사에 유용할 수 있음 - 그러나 iCloud는 1단계 및 2단계 인증을 요구하므로, 계정 접근이 어렵고, 추가 인증을 위한 기기 확보 필요 해결- Windows 환경의 활성/비활성 상태 시스템에서 로컬 저장소 및 물리 메모리 분석을 통해 2단계 인증을 우회할 수 있는 iCloud 인증 정보 추출 방법 소개 - 이를 반영한 iCloud 디지털포렌식 수사 절차 제안 - 가상 시나리오 구성 개념[Windows DPAPI]- Windows Data Protection API의 약어로, Windows에서 제공하는 암호화 서비스를 구성하는 CryptAPI의 한 종류- 사용자 인증정보(웹사이트 비밀번호, 자..

1. 종합 분석FTK ImagerX-Wayshttps://ccibomb.tistory.com/1181Magnet AXIOMAutopsyEnCase2. 아티팩트[ESE database]ESEDatabaseViewESEDBViewer: API 기반 도구ESECarve: WebCacheV01.dat과 Windows.edb 파일만 삭제된 레코드 복구 가능- WebCacheV01.dat: 인터넷 사용 기록 및 캐시 파일 정보 등을 보관 - SRUDB.dat: Windows에서 시스템 리소스 사용량을 추적하는 SRUM(System Resource Usage Monitor)의 데이터베이스 파일로, 네트워크 사용량, 앱 사용 기록, 배터리 소모량 등을 기록 - Windows.edb: windows + s 커맨드 혹은 ..

동일한 MAC 주소로 여러 IP를 사용하여 특정 IP를 공격eth.addr == AA:BB:CC:DD:EE:FF ------> ARP 스푸핑 / ARP 포이즈닝- 특정 MAC에 대해 여러 개의 IP를 사용하여 스위치/라우터 또는 호스트의 ARP 캐시를 조작- 공격자는 가짜 ARP 응답을 지속적으로 보내 타겟이 공격자의 MAC을 신뢰하도록 유도  -----> IP 충돌- 동일한 MAC을 여러 개의 IP에 할당하여 IP 충돌을 유도하거나 동일한 MAC을 등록하여 ARP 테이블을 계속 갱신, 과부하 발생  [ARP 테이블 분석]arp && eth.addr == AA:BB:CC:DD:EE:FF- 특정 MAC 주소에서 발생하는 ARP 요청 및 응답 패킷을 분석하여 비정상적인 IP 할당을 확인