AXIOM 고급과정

  • AX250 Windows Forensics 실무 과정

    구분 교육내용
    MODULE1
    Windows 10 개요
    교육 진행 프로세스 설명
    Windows 10의 Pin 암호화
    Windows Hello 암호화
    사진암호화
    지문 인식 암호화
    안면인식 암호화
    응용프로그램의 시스템 리소스를 활용한 알리바이 입증 및 보고서
    Windows 빌드 번호를 활용한 추적
    MODULE2
    EMDMGMT 경로 및 볼륨 시리얼 넘버 조사
    잘알려지지 않은 레지스트리 경로를 활용하여 볼륨시리얼 넘버 추적
    볼륨에 파일이 엑세스 된 이벤트로그를 통해 정보 획득
    AXIOM의 필터 및 검색 기능을 사용하여 특정드라이브에서 사용자의 엑세스 파일 획득
    MODULE3
    실행 파일 조사 / 분석
    NTUSER.DAT 파일과 UserAssist 파일 설명
    NTUSER.DAT내의 UserAssist등 실행 파일 분석
    NTUSER.DAT / AMCache 등 시스템 전체에 걸쳐 실행파일의 사용을 상세히 분석
    MODULE4
    Shellbags 분석
    Shellbags의 정의
    Shellbags을 통해 특정 파일이나 경로가 사용된 흔적 조사
    Shellbags 분석을 통해 삭제파일 및 폴더 흔적 조사
    MODULE5
    프리패치 파일 분석
    프리패치 파일 설명
    프리패치 파일 분석
    실팽한 파일의 흔적 조사
    외장 저장장치의 흔적 조사
    응용프로그램의 실행과정 조사
    MODULE6
    Jumplist 분석
    Jumplist 정의
    Recent / UserAssist 비교
    Jumplist 목록 설정
    Jumplist 저장 경로
    Jumplist 목록 저장 형식
    MODULE7
    Recent DOCUMENT
    수집된 실행 흔적과 교차 검증
    데이터의 시작 시간 추적
    데이터의 실행 위치 추적
    MODULE8
    휘발성 데이터 수집 / 분석
    휘발성 데이터 수집의 필요성
    메모리 덤프
    메모리 분석
    • 자격증명
    • 암호화 키
    • 실행 프로세스
    • 실행 파일
    MODULE9
    이동형 저장매체 분석 및 공유 파일 / 폴더 분석
    OneDrive 데이터 공유
    OneDrive 데이터 동기화 및 기타 장치와의 공유 시간 분석
    Wi-Fi 프로파일 및 삭제파일을 이용하여 데이터흔적 조사
    휘발성 데이터 분석에서 얻은 암호화 키를 이용하여 볼륨 암호화 해제
    MODULE10
    ITUNES Backup 키 체인 암호 획득
    ITUNES 백업 프로세스
    AXIOM Wordlist Generator(AWG)를 이용한 암호 획득
    Passware를 이용한 암호 획득
    AXIOM Cloud를 이용하여 데이터 수집
    연관 분석을 활용한 데이터 분석
    MODULE11
    Windows 10 암호 복구
    Windows10의 암호파 알고리즘 변경 설명
    SAM 파일 설명
    AXIOM Wordlist Generator(AWG)를 이용한 암호 복구
    MODULE12
    Google Drive 조사
    Google Drive 백업 동기화 설명
    특정 컴퓨터의 업로드 및 다운로드 데이터 복구
    Google Dirve 백업 파일 분석
    MODULE13
    Windows 파일 히스토리 분석
    Windows File History 개념
    OneDrive 파일 분석
    데이터 복구 과정
    타임라인 분석을 통한 파일의 버전 확인
    MODULE14
    Windows Store 분석
    Moden Apps 인터넷 기록 및 캐쉬 분석
    Windows App Store 응용 프로그램 분석
    • Mail App
    • Photo App
    • Facebook App
    • App 사용자
    응용프로그램 사용법 및 복구
    MODULE15
    USNJNNL 분석
    USNJNNL 대하여
    파일 또는 디렉토리 생성/변경 분석
    Fsutil.exe 실습
    USNJNNL 분석의 필요성

  • AX300 Mobile Forensics 실무 과정

    구분 교육내용
    MODULE1
    모바일 증거 데이터 수집 및 획득 방법 [ Mobile Acquisitions ]
    논리적 추출(Logical Extraction) 이해
    백업 파일 (Backup - ADB / iTunes / iCloud) 이해
    다이렉트 추출(Bootloader / ADB / etc ) 이해
    물리적 추출(Physical Extraction) 이해
    제이텍(JTAG) 이해
    ISP(In-System Programming) 이해
    칩 오프(Chip-Off) 이해
    케이스(Cases) - 연습 문제 실습
    MODULE2
    iOS 증거 데이터 수집 및 획득 [ iOS Acquisitions ]
    iOS 운영체제 버전별 주요 특징
    iOS 디바이스 암호화 이해 [ Data Protection ]
    iOS 락(Lock) 방식 이해 [ iOS Handset Locks ]
    iOS Touch ID 방식 이해
    iOS Pairing Certificate 이해
    iOS Driver 이해
    iOS 증거 데이터 수집 방법
    iTunes 백업 및 절차 이해
    Apple File Conduit 이해
    iOS 백업 암호화 이해 [ iOS Backup Encryption ]
    iOS 키체인 데이터 이해 [ iOS Keychain Data ]
    케이스(Cases) - 연습 문제 실습
    MODULE3
    iOS 파일 시스템 분석 [ iOS File System Analysis ]
    iOS 파일시스템 이해
    iTune 백업 파일시스템 구조 이해
    iOS 포렌식 증거 분석 [ iOS Forensics ]
    • Contacts
    • Call Logs
    • SMS / MMS / iMessages
    • Safari web browser
    • Media
    • Calendar / Reminder
    • Time / Alarm / setting
    • iOS 어플리케이션 특징 이해 및 분석
    iOS UDID 이해
    iOS SHA1 Named Files 이해
    iOS Domain 이해
    iOS 중요 Plist 파일 이해
    SQLite 데이터베이스 증거분석
    기타 iOS 중요 증거 분석
    케이스(Cases) - 연습 문제 실습
    MODULE4
    안드로이드 증거 데이터 수집 및 획득 [ Android Acquisitions ]
    안드로이드 운영체제 버전별 주요 특징
    안드로이드 디바이스 암호화 [ FDE : Full-Disk Encryption ]
    안드로이드 파일 암호화 [ FBE : File-Base Encryption ]
    안드로이드 이미징 방법과 절차
    안드로이드 복구 파티션 접속을 통한 이미징 [ Recovery Partition Access ]
    커스텀 복구 이미지 - TWRP(Team Win Recovery Project) 이해
    FRP(Factory Reset Protection) 이해
    Flash Recovery Image - Recovery Flashing 이해
    어플리케이션 다운그레이딩(Application Downgrading) 이해
    케이스(Cases) - 연습 문제 실습
    MODULE5
    안드로이드 파일 시스템 분석 [ Android File System Analysis ]
    안드로이드 파일시스템 이해
    안드로이드 포렌식 증거 분석 [ Android Forensics ]
    • Contacts
    • Call Logs
    • SMS / MMS Messages
    • System
    • Media
    • Users
    • Data
    • Securtiy
    안드로이드 시스템 락(Lock) 방식 분석 [ Handset Lock Codes Analysis ]
    사용자 정보 분석
    각종 애플리케이션 증거분석
    안드로이드 애플리케이션 특징 및 구조 분석
    SQLite 데이터베이스 증거분석
    기타 안드로이드 중요 증거 분석
    케이스(Cases) - 연습 문제 실습
    MODULE6
    MTP 증거 데이터 수집 및 획득 [ MTP Acquisitions ]
    MTP(Media Transfer Protocol) 개요
    MTP(Media Transfer Protocol) 주요 특징
    MTP의 증거수집 범위 및 사용시점
    MTP를 통한 안드로이드(Android) 증거수집
    MTP를 통한 iOS 증거수집
    MTP 한계점
    케이스(Cases) - 연습 문제 실습
    MODULE7
    커스텀 아티팩트 [ Custom Artifacts ]
    Dynamic App Finder (DAF) - 동적 앱 찾기 기능 이해
    커스텀 아티팩트(Custome Artifacts) 제작하기
    Python 기반 아티팩트와 XML 기반 아티팩트 이해
    XML 기반 아티팩트 제작 실습
    커스텀 XML 아티팩트 구조 이해
    커스텀 XML 아티팩트 구성 요소(Element) 이해
    SQLite 데이터베이스 개요
    SQLite 데이터베이스 검색 및 데이터 파싱
    파싱(Parsing)과 카빙(Carving) 이해
    케이스(Cases) - 연습 문제 실습

  • AX310 침해사고 대응 실무 과정

    구분 교육내용
    MODULE1
    MAGNET AXIOM 소개 및 설치
    강사 및 수강생 자기소개
    AXIOM 소개
    • AXIOM 이란?
    • AXIOM 설치
    • AXIOM 기능 소개
    • AXIOM Process / Examiner
    MODULE2
    AX310 과정 소개
    해당 교육 과정 목차 및 코스 개요 소개
    실제 사건과 유사한 시나리오를 토대로 한 침해사고 분석 과정 소개
    MODULE3
    멀웨어 개요
    악성코드?
    • 악성코드 란?
    • 악성코드의 종류
    • 악성코드 분석 방법론
    MODULE4
    네트워크 패킷 캡처(PACAP)
    악성코드와 C&C 서버 통신
    네트워크 패킷 캡처 방법
    WireShark
    • WireShark 란?
    • WireShark 사용 방법
    MODULE5
    사고 대응 툴킷
    사고 대응 절차
    • 사고 대응 절차
    • 휘발성 데이터 수집
    • 사고 대응 도구
    MODULE6
    메모리(RAM)
    메모리(RAM)
    • 휘발성 데이터
    • 메모리 구조
    • 메모리 동작 방식
    메모리 분석(RAM Analysis)
    • 동작 중인 프로세스 분석
    • 루트 킷 및 스텔스 프로세스 흔적 분석
    • 휘발성 데이터 분석
    • 네트워크 통신 흔적 분석
    • PCAP 데아터 추출
    MODULE7
    멀웨어 정적 분석
    칼리리눅스(Kali Linux)
    • 칼리 리눅스란?
    • 칼리 리눅스 사용 방법
    • 메타스플로잇 프레임워크
    • 페이로드 생성
    멀웨어 정적 분석
    • 가상머신 네트워크 설정 방법
    • 정적 분석 프로세스
    MODULE8
    멀웨어 동적 분석
    악성코드 동적 분석
    • 포렌식 이미지 내 악성코드 추출
    • 가상 환경에서 악성코드 행위 분석
    • 네트워크 패킷 캡처를 통한 통신 내용 분석
    MODULE9
    조사 마무리 (1)
    AXIOM을 통해 발견된 악성코드 흔적 및 원본 악성코드 수집
    AXIOM Artifact 분석
    • Prefetch
    • SRUM
    • AMCACHE
    • JUMPLISTS
    • LNK 파일
    • Most Recent File / Folder
    • MUI Cache
    • User Assist / Windows Event
    MODULE10
    조사 마무리 (2)
    이전 과정에서 수집한 모든 데이터의 연관관계 분석
    휘발성 데이터 및 PCAP 데이터 연관 분석
    MODULE11
    리뷰
    MAGNET AXIOM 교육 과정 리뷰

  • AX320 클라우드 포렌식 실무 과정

    구분 교육내용
    MODULE1
    클라우드 조사 [ Cloud Investigations ]
    클라우드 흔적 조사 개요
    클라우드 사용흔적 조사
    • 웹 히스토리
    • 이메일
    • 설치 및 응용 프로그램의 로그인 기록 등
    MODULE2
    OSINT 조사 [ OSINT Investigations ]
    용의자의 공개적인 정보 수집 방안
    OSINT(Open Source INTelligence)를 이용하여 정보 수집
    • 도메인을 활용한 정보 수집
    • IP Address를 이용한 정보 수집
    • 기타 오픈소스를 활용한 정보 수집 방법
    MODULE3
    Apple Cloud 분석
    iCloud 드라이브 분석
    iCloud에 백업 데이터 분석
    Apple [ Download Your Data ]정보 분석
    MODULE4
    Google 분석
    Google 즐겨찾기 검색기능
    • messaging platforms
    • 클라우드 저장소(cloud storage)
    • 기업 솔루션(enterprise solutions)
    • 웹 저장소(web-based storage)
    Google 테이크 아웃(Google TakeOut) 기능 분석
    MODULE5
    Microsoft 분석
    OneDrive 서비스 분석
    • 다수 로컬에 연동되어있는 One Drive 데이터 조사 방법
    • Microsoft 계정 조사 방법
    • Microsoft의 자체 서버에서 정보 수집 방법
    MODULE6
    Twitter 분석
    Twitter 데이터 수집 방법 분석
    • 사용자 접근 IP 수집
    • 공개된 트윗 정보 수집
    • 연결된 개인 정보 수집
    Magnet AXOIOM Cloud 데이터 수집
    • 비공개 메시지 검색
    MODULE7
    Facebook 분석
    Facebook 사용 활동 분석
    Magnet AXIOM 데이터 분석 빙법
    • 웹 스크래핑(web scraping) 분석
    • Facebook Messenger 분석
    MODULE8
    Instagram 분석
    Instagram 서비스 분석
    • 공개/비공개 정보 분석
    Magnet AXIOM Cloud API 분석
    • 다운로드 한 사진 수집
    Web Scrapper 분석
    • 다운로드 한 사진 수집
    MODULE9
    Dropbox 분석
    Dropbox 데이터 수집
    Magnet AXIOM 데이터 수집
    MODULE10
    Box 분석
    서비스를 위한 계정 생성
    Magnet AXIOM 데이터 수집
    MODULE11
    Email 분석
    전자 메일 서버 분석
    Magnet AXIOM 데이터 수집
    • POP3 서비스 분석
    • SMTP 서비스 분석
    정보 활용 방법 연구