SlideShare a Scribd company logo

(120318) #fitalk introduction to kindle forensics

INSIGHT FORENSIC
INSIGHT FORENSIC

2012 F-INSIGHT TALK

Technology
1 of 26
Download to read offline
FORENSIC INSIGHT SEMINAR Introduction to Kindle Forensics baadc0de http://baadc0de.blogspot.com
forensicinsight.org Page 2 / 27 개요 1. Introduction 2. Research 3. Method 4. Results 5. Conclusion
forensicinsight.org Page 3 / 27 Introduction
forensicinsight.org Page 4 / 27 Introduction  다목적 활용이 가능한 Kindle  E-book 감상뿐만이 아닌 음악 감상, 게임, 웹브라우징, 데이터 저장 등  다양한 포멧 지원  .doc, .docx, .txt, .rtf, .html, .htm, .jpeg, .jpg, .gif, .png, .bmp, and .zip  Kindle Development Kit (KDK)  사용자 고유의 컨텐츠 생성  다양한 데이터를 저장 가능하기 때문에…  사건과 연관된 증거의 존재 가능성  사용자의 성향을 파악하는데 도움 (책, 음악…)
forensicinsight.org Page 5 / 27 Research
forensicinsight.org Page 6 / 27 Research  최신 기종의 Kindle(당시 Kindle 3세대)을 FTK Imager를 이용하여 이미징
forensicinsight.org Page 7 / 27 Research  기본 정보  File System : FAT32  Operating System : Linux  Image Size : 3130MB  의문사항  Kindle의 용량은 4GB  수집한 이미지의 용량은 3130MB  나머지 용량의 행방은??
forensicinsight.org Page 8 / 27 Research  Kindle 디스크 파티션 구성  User Accessible Partition : mmcblk0p4 (3130MB)  System Partition : mmcblk0p1 (650MB), mmcblk0p2 (24MB), mmcblk0p3 (8MB)  System Area로의 접근  권한 상승을 통해 접근 가능 a.k.a. Jail-Break (향후 설명)  저자는 mmcblk0p1의 전체 이미지를 수집할 수 없었음  dd를 이용하여 system partition의 이미지를 user accessible partition으로 복사 수행  Telnet session이 끊기면서 이미징 진행 불가  부분적인 이미지로 분석 수행  Netcat으로 해결 가능 by baadc0de
forensicinsight.org Page 9 / 27 Method
forensicinsight.org Page 10 / 27 Method  kindle-jailbreak-.4.N.zip 다운로드 받고, PC에 연결  update_jailbreak_0.4.N_0.4.N_k3g_install.bin 파일을 Kindle의 루트 디렉토리 에 복사  PC에서 Kindle 연결 제거  킨들에서  Menu | Settings | Menu | Update Your Kindle  OK
forensicinsight.org Page 11 / 27 Method
forensicinsight.org Page 12 / 27 Method  kindle-usbnetwork-0.30.N.zip 다운로드  update_usbnetwork_0.30.N_k3g_install.bin 파일을 Kindle의 루트 디렉토리에 복사  PC에서 Kindle 연결 제거  킨들에서  Menu | Settings | Menu | Update Your Kindle  OK
forensicinsight.org Page 13 / 27 Method  Kindle에서 다음을 입력
forensicinsight.org Page 14 / 27 Method  Kindle을 PC에 연결  제어판 | 장치 관리자 | 네트워크 어댑터  RNDIS/Ethernet Gadget  드라이버 소프트웨어 업데이트  Microsoft Corporation – Remote NDIS based Internet Sharing Device
forensicinsight.org Page 15 / 27 Method  해당 네트워크 어댑터 IP 주소 설정
forensicinsight.org Page 16 / 27 Method  Kindle로 Telnet 연결  telnet 192.168.2.2
forensicinsight.org Page 17 / 27 Method  dd를 이용해 이미징  Author : mmcblk0p4(user accessible partition)으로 이미징 후 복사  Telnet session 유실  Baadc0de : netcat(nc)를 통한 전송  정상 전송 가능 (추천) – 그림 참조
forensicinsight.org Page 18 / 27 Method  Autopsy(or sleuth kit)를 이용해 분석
forensicinsight.org Page 19 / 27 Results
forensicinsight.org Page 20 / 27 Results  Kindle Files (1/2)
forensicinsight.org Page 21 / 27 Results  Kindle Files (2/2)
forensicinsight.org Page 22 / 27 Results  Kindle Statistics (1/2)
forensicinsight.org Page 23 / 27 Results  Kindle Statistics (2/2)
forensicinsight.org Page 24 / 27 Conclusions
forensicinsight.org Page 25 / 27 Conclusions  향후 과제  분석 결과 중 Unknown Locations  이 문서가 제시한 방법이 아닌 다른 방법  User Accessible Partition에 이미지 쓰기? (하지만 netcat으로 극복 가능)  반드시 root 권한이 필요한가?  저자는 증거 획득에 유용하다고 판단함  Kindle Development Kit  검증되지 않은 악성앱  Wireless  Kindle e-mail address를 통한 무선 데이터 송신 가능  Disk full  data 덮어쓰기를 통한 포렌식 분석 방해  악성앱 전송으로 데이터 삭제
forensicinsight.org Page 26 / 27 Q&A

Recommended

Personal Learning Networks in the Early Years - ISTE
Personal Learning Networks in the Early Years - ISTEPersonal Learning Networks in the Early Years - ISTE
Personal Learning Networks in the Early Years - ISTEKaren Lirenman
 
@beyondlevels conference: Early Years Assessment
@beyondlevels conference: Early Years Assessment@beyondlevels conference: Early Years Assessment
@beyondlevels conference: Early Years AssessmentDr Julian Grenier
 
All-Party Parliamentary Group for Nursery Schools and Nursery Classes
All-Party Parliamentary Group for Nursery Schools and Nursery ClassesAll-Party Parliamentary Group for Nursery Schools and Nursery Classes
All-Party Parliamentary Group for Nursery Schools and Nursery ClassesDr Julian Grenier
 
High Quality Learning Environment in the EYFS
High Quality Learning Environment in the EYFSHigh Quality Learning Environment in the EYFS
High Quality Learning Environment in the EYFSAnna Cylkowska
 
Outstanding Early Years
Outstanding Early YearsOutstanding Early Years
Outstanding Early YearsJames Nottingham
 
Sex education in schools
Sex education in schoolsSex education in schools
Sex education in schoolsOmer Hussien
 
Aims and Purposes in Education
Aims and Purposes in EducationAims and Purposes in Education
Aims and Purposes in EducationJoey Miñano
 
Sexuality education - how to talk to your children about sex
Sexuality education - how to talk to your children about sexSexuality education - how to talk to your children about sex
Sexuality education - how to talk to your children about sexDr Aniruddha Malpani
 

Recommended

Personal Learning Networks in the Early Years - ISTE
Personal Learning Networks in the Early Years - ISTEPersonal Learning Networks in the Early Years - ISTE
Personal Learning Networks in the Early Years - ISTEKaren Lirenman
 
@beyondlevels conference: Early Years Assessment
@beyondlevels conference: Early Years Assessment@beyondlevels conference: Early Years Assessment
@beyondlevels conference: Early Years AssessmentDr Julian Grenier
 
All-Party Parliamentary Group for Nursery Schools and Nursery Classes
All-Party Parliamentary Group for Nursery Schools and Nursery ClassesAll-Party Parliamentary Group for Nursery Schools and Nursery Classes
All-Party Parliamentary Group for Nursery Schools and Nursery ClassesDr Julian Grenier
 
High Quality Learning Environment in the EYFS
High Quality Learning Environment in the EYFSHigh Quality Learning Environment in the EYFS
High Quality Learning Environment in the EYFSAnna Cylkowska
 
Outstanding Early Years
Outstanding Early YearsOutstanding Early Years
Outstanding Early YearsJames Nottingham
 
Sex education in schools
Sex education in schoolsSex education in schools
Sex education in schoolsOmer Hussien
 
Aims and Purposes in Education
Aims and Purposes in EducationAims and Purposes in Education
Aims and Purposes in EducationJoey Miñano
 
Sexuality education - how to talk to your children about sex
Sexuality education - how to talk to your children about sexSexuality education - how to talk to your children about sex
Sexuality education - how to talk to your children about sexDr Aniruddha Malpani
 
mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018Gaia3D,Inc.
 
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)FNGS Labs
 
[이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) [이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) 시온시큐리티
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File 봉조 김
 
Mago3 d 워크샵
Mago3 d 워크샵Mago3 d 워크샵
Mago3 d 워크샵정대 천
 
mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)SANGHEE SHIN
 
[Nux]01 orientation
[Nux]01 orientation[Nux]01 orientation
[Nux]01 orientationjylee_kgit
 
Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본무정 안
 
Mqtt 소개
Mqtt 소개Mqtt 소개
Mqtt 소개Junho Lee
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System환석 주
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 

More Related Content

Similar to (120318) #fitalk introduction to kindle forensics

mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018Gaia3D,Inc.
 
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)FNGS Labs
 
[이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) [이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) 시온시큐리티
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File 봉조 김
 
Mago3 d 워크샵
Mago3 d 워크샵Mago3 d 워크샵
Mago3 d 워크샵정대 천
 
mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)SANGHEE SHIN
 
[Nux]01 orientation
[Nux]01 orientation[Nux]01 orientation
[Nux]01 orientationjylee_kgit
 
Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본무정 안
 
Mqtt 소개
Mqtt 소개Mqtt 소개
Mqtt 소개Junho Lee
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System환석 주
 

Similar to (120318) #fitalk introduction to kindle forensics (13)

mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018mago3d workshop in FOSS4G Korea 2018
mago3d workshop in FOSS4G Korea 2018
 
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
 
[이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) [이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화)
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File Softbox coding - raspberrypi3 b+ 2019 Lecture File
Softbox coding - raspberrypi3 b+ 2019 Lecture File
 
Mago3 d 워크샵
Mago3 d 워크샵Mago3 d 워크샵
Mago3 d 워크샵
 
mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)mago3D 기술 워크샵 자료(한국어)
mago3D 기술 워크샵 자료(한국어)
 
[Nux]01 orientation
[Nux]01 orientation[Nux]01 orientation
[Nux]01 orientation
 
Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본Kgw2015 lg엔시스 안무정_최종본
Kgw2015 lg엔시스 안무정_최종본
 
Mqtt 소개
Mqtt 소개Mqtt 소개
Mqtt 소개
 
Block chain bidding_System
Block chain bidding_SystemBlock chain bidding_System
Block chain bidding_System
 

More from INSIGHT FORENSIC

(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 

Recently uploaded

[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdfssuserf8b8bd1
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'Hyundai Motor Group
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)Wonjun Hwang
 
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료Softwide Security
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료Softwide Security
 
Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Wonjun Hwang
 

Recently uploaded (6)

[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
 
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
 
Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
 

(120318) #fitalk introduction to kindle forensics

  • 1. FORENSIC INSIGHT SEMINAR Introduction to Kindle Forensics baadc0de http://baadc0de.blogspot.com
  • 2. forensicinsight.org Page 2 / 27 개요 1. Introduction 2. Research 3. Method 4. Results 5. Conclusion
  • 3. forensicinsight.org Page 3 / 27 Introduction
  • 4. forensicinsight.org Page 4 / 27 Introduction  다목적 활용이 가능한 Kindle  E-book 감상뿐만이 아닌 음악 감상, 게임, 웹브라우징, 데이터 저장 등  다양한 포멧 지원  .doc, .docx, .txt, .rtf, .html, .htm, .jpeg, .jpg, .gif, .png, .bmp, and .zip  Kindle Development Kit (KDK)  사용자 고유의 컨텐츠 생성  다양한 데이터를 저장 가능하기 때문에…  사건과 연관된 증거의 존재 가능성  사용자의 성향을 파악하는데 도움 (책, 음악…)
  • 6. forensicinsight.org Page 6 / 27 Research  최신 기종의 Kindle(당시 Kindle 3세대)을 FTK Imager를 이용하여 이미징
  • 7. forensicinsight.org Page 7 / 27 Research  기본 정보  File System : FAT32  Operating System : Linux  Image Size : 3130MB  의문사항  Kindle의 용량은 4GB  수집한 이미지의 용량은 3130MB  나머지 용량의 행방은??
  • 8. forensicinsight.org Page 8 / 27 Research  Kindle 디스크 파티션 구성  User Accessible Partition : mmcblk0p4 (3130MB)  System Partition : mmcblk0p1 (650MB), mmcblk0p2 (24MB), mmcblk0p3 (8MB)  System Area로의 접근  권한 상승을 통해 접근 가능 a.k.a. Jail-Break (향후 설명)  저자는 mmcblk0p1의 전체 이미지를 수집할 수 없었음  dd를 이용하여 system partition의 이미지를 user accessible partition으로 복사 수행  Telnet session이 끊기면서 이미징 진행 불가  부분적인 이미지로 분석 수행  Netcat으로 해결 가능 by baadc0de
  • 10. forensicinsight.org Page 10 / 27 Method  kindle-jailbreak-.4.N.zip 다운로드 받고, PC에 연결  update_jailbreak_0.4.N_0.4.N_k3g_install.bin 파일을 Kindle의 루트 디렉토리 에 복사  PC에서 Kindle 연결 제거  킨들에서  Menu | Settings | Menu | Update Your Kindle  OK
  • 12. forensicinsight.org Page 12 / 27 Method  kindle-usbnetwork-0.30.N.zip 다운로드  update_usbnetwork_0.30.N_k3g_install.bin 파일을 Kindle의 루트 디렉토리에 복사  PC에서 Kindle 연결 제거  킨들에서  Menu | Settings | Menu | Update Your Kindle  OK
  • 13. forensicinsight.org Page 13 / 27 Method  Kindle에서 다음을 입력
  • 14. forensicinsight.org Page 14 / 27 Method  Kindle을 PC에 연결  제어판 | 장치 관리자 | 네트워크 어댑터  RNDIS/Ethernet Gadget  드라이버 소프트웨어 업데이트  Microsoft Corporation – Remote NDIS based Internet Sharing Device
  • 15. forensicinsight.org Page 15 / 27 Method  해당 네트워크 어댑터 IP 주소 설정
  • 16. forensicinsight.org Page 16 / 27 Method  Kindle로 Telnet 연결  telnet 192.168.2.2
  • 17. forensicinsight.org Page 17 / 27 Method  dd를 이용해 이미징  Author : mmcblk0p4(user accessible partition)으로 이미징 후 복사  Telnet session 유실  Baadc0de : netcat(nc)를 통한 전송  정상 전송 가능 (추천) – 그림 참조
  • 18. forensicinsight.org Page 18 / 27 Method  Autopsy(or sleuth kit)를 이용해 분석
  • 20. forensicinsight.org Page 20 / 27 Results  Kindle Files (1/2)
  • 21. forensicinsight.org Page 21 / 27 Results  Kindle Files (2/2)
  • 22. forensicinsight.org Page 22 / 27 Results  Kindle Statistics (1/2)
  • 23. forensicinsight.org Page 23 / 27 Results  Kindle Statistics (2/2)
  • 24. forensicinsight.org Page 24 / 27 Conclusions
  • 25. forensicinsight.org Page 25 / 27 Conclusions  향후 과제  분석 결과 중 Unknown Locations  이 문서가 제시한 방법이 아닌 다른 방법  User Accessible Partition에 이미지 쓰기? (하지만 netcat으로 극복 가능)  반드시 root 권한이 필요한가?  저자는 증거 획득에 유용하다고 판단함  Kindle Development Kit  검증되지 않은 악성앱  Wireless  Kindle e-mail address를 통한 무선 데이터 송신 가능  Disk full  data 덮어쓰기를 통한 포렌식 분석 방해  악성앱 전송으로 데이터 삭제