본문 바로가기

2010/12

CSI Effect!? Have you ever heard about The CSI effect (or CSI syndrome)? Huge hit of CSI series changes not only market of soap opera but a court. after its debut, atmosphere of a court somewhat changed. juror is not what s/he used to be. jury demand prosecutor or plaintiff evidences more forensically sound. CSI effect refers to juror's change of attitude. with broadcasting of CSI, people begin to be interes.. 더보기
포렌식 관점에서 바라본 Exif Format-4 [Exif Data의 무결성 검증은 어떻게 할것인가] Ⅳ. 개선방안 4.1 Exif Data의 무결성의 입증 4.1.1 Modify-Time의 변화 Exif Data는 위에서 살펴본 것처럼 조작이 가능하며 이미지 바이너리 자체로는 그 조작여부를 가릴 수 없다. 하지만 Exif Data를 조작하게 되면 파일 내부의 정보를 조작하는 것이 되어 소위 MAC-time 중 Modify-Time이 변하는 결과를 낳게 된다. 하지만 앞서 언급했듯이 파일시스템 수준에서 M-time을 조작할 수 있다. 따라서 단순히 M-time의 변화가 없다고 해서 Exif Data가 변하지 않았음을 입증할 수는 없다. 4.1.2 해쉬(Hash)값의 변화 Exif Data의 조작은 바이너리를 조작하는 것이기 때문에 파일의 해쉬값은 변화하게 된다. 결국 Exif Data의 무결성 여부은 .. 더보기
포렌식 관점에서 바라본 Exif Format -3 [Exif Data의 조작] 3.3 Exif Data의 조작 위에서 살펴본 것처럼 Exif Data는 촬영환경, 위치, 시각정보 등 수많은 정보를 담고 있어 무결성이 검증될 경우 법정에서 실체적 현장을 재현하는데 탁월한 효과를 발휘할 수 있다. 그런데 이와는 반대로 Exif Format의 바이너리 데이터가 조작될 경우 엄청난 역효과를 낳을 수 있기 때문에 바이너리 데이터를 조작할 경우 이를 탐지할만한 장치가 있는지 실험하여 보았다. 3.3.1 GPS 정보의 조작 바이너리 수정툴인 UltraEdit-32를 이용하여 해당 디지털이미지의 GPS 정보를 수정해보았다. 다른 필드의 수정없이 원본 이미지의 GPSLatitude값과 GPSLongitude값 만을 조작해서 구글어스 상에서 이미지가 찍힌 위치를 광화문인 것처럼 조작할 수 있었다. .. 더보기
포렌식 관점에서 바라본 Exif Format -2 [Exif Format의 구조] Ⅲ. Exif Format 3.1 JPEG의 구조 3.1.1 JPEG 이미지와 마커(Marker) JPEG 이미지는 마커(Marker)의 집합으로 구성되어있다. 위 그림처럼 모든 마커는 0xFF로 시작하며 데이터의 크기가 마커에 명시되어 있어 오프셋(offset)으로 다음 마커의 위치를 알 수 있다. JPEG 이미지는 SOI 마커로 시작하여 SOS 마커로 끝나는 형태를 띄고 있다. 마커 마커 번호 SOI(Start of Image) D8 APP1 E1 APP2 DQT(Quantization Table) DB DHT(Huffman Table) C4 DRI(Restart Interval) DD SOF(Frame Header) C0 SOS(Scan Header) DA EOI(End of Image) D9 이 .. 더보기
2010.11.30. My name is Khan. I'm not a terrorist "My name is Khan. i'm not a terrorist." Wow Bollywood Being different is not being wrong. 더보기