Windows credentials manager stores users’ credentials in special folders called vaults. Being able to access such credentials could be truly useful during a digital investigation for example, to gain access to other protected systems. Moreover, if data is in the cloud, there is the need to have the proper tokens to access it. This presentation will describe vaults’ internals and how they can be decrypted; the related
Python Open Source code will be made publicly available. During the session, credentials and vaults coming from Windows 7, Windows 8.1 and Windows 10 will be decrypted, focusing on particular cases of interest. Finally, the presentation will address the challenges coming from Windows Phone, such as getting system-users’ passwords and obtaining users’ ActiveSync tokens.
This is an extract from ongoing research made available for comments and recommendations. All tools were tested in the same virtual configuration providing a consistent test platform.
** UPDATE ** As it is no longer possible to update a Slideshare presentation I will shortly be posting a more comprehensive set of results as a new presentation and on the www.xtremeforensics.com website.
A public beta version of Windows 10 branded as Windows Technical Preview (later known as Windows Insider Preview) was released on October 1, 2014. Windows 7, Windows Vista, Windows 8 and Windows 8.1 are able to upgrade into Windows 10 and also able to roll back into previous OS if you want.
Windows credentials manager stores users’ credentials in special folders called vaults. Being able to access such credentials could be truly useful during a digital investigation for example, to gain access to other protected systems. Moreover, if data is in the cloud, there is the need to have the proper tokens to access it. This presentation will describe vaults’ internals and how they can be decrypted; the related
Python Open Source code will be made publicly available. During the session, credentials and vaults coming from Windows 7, Windows 8.1 and Windows 10 will be decrypted, focusing on particular cases of interest. Finally, the presentation will address the challenges coming from Windows Phone, such as getting system-users’ passwords and obtaining users’ ActiveSync tokens.
This is an extract from ongoing research made available for comments and recommendations. All tools were tested in the same virtual configuration providing a consistent test platform.
** UPDATE ** As it is no longer possible to update a Slideshare presentation I will shortly be posting a more comprehensive set of results as a new presentation and on the www.xtremeforensics.com website.
A public beta version of Windows 10 branded as Windows Technical Preview (later known as Windows Insider Preview) was released on October 1, 2014. Windows 7, Windows Vista, Windows 8 and Windows 8.1 are able to upgrade into Windows 10 and also able to roll back into previous OS if you want.
source : http://www.opennaru.com/apm/apache-tomcat-auto-provisioning/
OPENMARU APM은 Apache 웹서버와 Tomcat 에 대하여 자동으로 설치와 구성 그리고 튜닝하며 해당 구성에 대한 설치보고서를 자동생성하는 OPENMARU Installer 기능을 제공합니다.
이 기능은 OS 만 설치되어 있으면 수분 이내에 웹 서버와 WAS 서버를 설치하고 고난이도의 클러스터링 설정이나 리눅스 튜닝을 자동으로 수행하여 즉시 서비스할 수 있는 환경을 구성해주는 자동 프로비져닝 기능입니다.
기존의 엔지니어의 기술 지원에 의존적인 웹서버와 WAS 구성을 전문가 수준으로 자동으로 구성하여, 구축기간 뿐만아니라 비용 절감 효과를 제공합니다.
박강민(pr0gr4m) / Linux Kernel Contributor - <Linux Kernel 101 for Beginner>
"리눅스 커널에 관심은 있지만, 커널을 어떻게 공부해야 하는지 모르는 분들을 위해 준비한 시간입니다.
입문자 분들이 리눅스 커널 공부를 시작하는 방법에 대해 소개합니다"
영상: https://youtu.be/96T6OCEqZNk
주최: https://www.facebook.com/groups/InfraEngineer
3. 3/40
HFS+ File System
• HFS Filesystem
UFS 기반으로 제작한 파일 시스템
저널링을 제공하지 않음
파일 이름 길이 제한(255자)
큰 용량 데이터 처리 문제가 존재
• HFS+ Filesystem
Mac OS X를 위해 개발한 파일시스템
디스크 및 CD-ROM에서도 사용할 수 있도록 구성
HFS 파일시스템의 단점을 보완
4. 4/40
Raw 이미지 획득
• MAC OS X는 Target Disk Mode를 가지고 있음
FireWire로 두 시스템을 연결
Mac OS X의 auto mount 데몬을 종료하고 수행
• /usr/sbin/diskarbitrationd
타겟 시스템을 T를 누른 채로 부팅
• Target Disk Mode
• Support to Mac OS X or OS8/OS9
FireWire를 이용한 디스크 이미징
5. 5/40
Raw 이미지 획득
• Net cat 을 이용한 DD 이미지 전송
XP (서버측 설정)
• 12345 포트 Open
• >nc -w 10 -Lvp 12345 > Mac.dd
Mac (Client측 명령)
• $sudo dd if=/dev/disk1 bs=1024 | nc 163.152.165.109 12345
6. 6/40
• 이미지 정상 여부 판단
Sleuthkit 3.1.0 버전 hfs 지원
올바른 이미지가 확보되었는지 판단하기 위해 sleuth kit 이용.
• 인식 에러
• 볼륨이 아닌 disk를 이미징 한 결과
Raw 이미지 획득
7. 7/40
• EFI Disk label 제거
FTK Imager등을 이용, HFS+ Volume만 이미징
HFS+ Volume
Raw 이미지 획득
9. 9/40
• 기본구조
Reserved (1024 bytes)
Volume Header
data
Allocation File
data
Extents overflow File
data
Catalog File
data
Attributes File
data
Startup File
data
Alternate Volume header
Rerserved (512 bytes)
-원래 Boot Block이 들어가던 자리. OS의 발달
로 Boot 블록이 필요치 않게 되었다
-Mac OS Finder가 시스템 폴더가 변경되게 되
면 이곳에 변경 내용을 작성한다.
HFS+ Signature, 볼륨 날짜 정보, 블록정보, 파이
/폴더의 개수, Catalog file의 위치 정보ㅡ 저널
블록 정보를 가진다.
블록에 대한 flag 값을 통해 비트맵 형식의 관리
하나의 Fork가 값을 모두 담지 못할 경우 이곳에
데이터를 저장.
파일 / 폴더의 정보를 가짐. B-Tree형식
최초 분석 대상
부팅을 위해 사용됨.
B-Tree에 관한 속성정보 (노드 크기 등)
Volume header의 백업
HFS+ 구조
15. 15/40
• Catalog File 기본 구조
First leafnode pointer Root node pointer Last leaf node pointer
8 pointer 16 pointer
16 pointer 20 pointer 23 pointer
13 data8 data 10 data 20 data 21 data 23 data
8 pointer 13 pointer
16 data
Header Node
Index Node
Index Node
Leaf Node
HFS+ 구조
23. 23/40
• Node Structure (Index & Leaf node)
Node descriptor
Record 0
Record 1
Free Space
Offset to free space
Offset to record 1
Offset to record 0
Value kind
-1 Leaf node
0 Index node
1 Header node
2 Map node
Catalog File(Root Node)
24. 24/40
• Node Structure sample
Node Descriptor of root node
flink blink type
height
Num of Record
reserved
Catalog File(Root Node)
25. 25/40
• Index node
Offset to Record’n’ = node[nodesize - (n + 1) * 2];
… Offset to record 0Offset to record 1
Key length
Parent Node Id Key name length
Key name
Child pointer
Catalog File(Root Node)
26. 26/40
• Leaf node
…
…
Offset to record 0Offset to record 1
flink
Record type
Value kind
1 Forder
2 FileParent Node Id
Key name lengthKey length
Catalog File(Root Node)
27. 27/40
Catalog File (Node Traverse)
• Find root node
Index node or leaf node
Traverse start!
• Index node일 경우
Record 조사
Next node = child node(pointer)
• Leaf node일 경우
Record 조사
Next node = next leaf node(flink)
28. 28/40
• Node Traverse
• Index Node 가 POP 된 경우
PUSH all child node
• Leaf Node 가 POP 된 경우
Read Record
0
2
1
4
3
2
7
6
5
4
3
9
8
7
6
5
4
10
9
8
7
6
5
11
10
9
8
7
6
13
12
11
10
9
8
7
14
13
12
11
10
9
8
14
13
12
11
10
9
…
POP 0 POP 1 POP 2 POP 3 POP 04 POP 5 POP 6 POP 7 POP 9
0
1 2
3 4 5 6 7
8 9 10 11 12 13 14
QUEUE flow:
Catalog File (Node Traverse)
30. 30/40
Data Extract
• 데이터 추출 (by CNID)
Leaf record
…
…
Offset to record 0Offset to record 1
flink
Record type
Value kind
1 Forder
2 FileParent Node Id
Key name lengthKey length
31. 31/40
• 데이터 추출 (by CNID)
Leaf record
88 byte
Data Extract
39. 39/40
• 파일 삭제 후 재 이미징
삭제 여부
• 삭제 : Cdto_2.3.zip , FilenoriSetup.exe , PurpGuy.gif
• 휴지통 : 스택에 관하여.pdf
삭제 후
• 파일 data 영역
다음 파일 덮어 씌워짐
(Cdto_2.3.zip , FilenoriSetup.exe )
다음 파일 데이터 남아 있음
(PurpGuy.gif, 스택에 관하여.pdf)
• Node record 영역
전부 제거된 상태
Catalog File 내의 트리 구조 재구성으로 인해 메타 데이터 영역이 남아있는 경우가 드묾
따라서, 저널 파일을 이용한 복원 혹은 카빙을 이용한 복원 방법만을 사용 가능
결과 확인