Skip navigation

Thanks to Gary McKinnon (Solo) From FD mailing list.

We now can download COFEE
, a Forensics toolkit by Microsoft meant to be used on a thumb drive.

Microsoft COFEE forensic toolkit: http://cryptome.org/cofee.zip
User guide: http://cryptome.org/cofee-guide.zip

And Here are my mirrors…

Microsoft COFEE forensic toolkit: http://www.box.net/shared/2xmcilg74x
User guide: http://www.box.net/shared/kkqcxoi581

hmm….

I can de-auth and generate some fake arp packets with my iPhone(OSX) as a client.

But… I fail to do so with my laptop (XPSP2 uptodate with intel b/g wireless-NIC)

I can’t even find the client (laptop) in the bottom pane whenever I restart sniffing.

I can see iPhone after restarting, though.

Tomorrow,

1. I’ll try [airpcap and “cain&abel”] with some linux boxes

2. windows {airpcap + airodump + aircrack-ptw + “cain&abel”} on XP laptop

3. linux {airodump + aireplay + aircrack-ptw} on XP laptop

I just wonder what’s the problem….

I’ve just done with my assignment on forensics quizzes for the training class.

The class will be given to other information-security engineers in my company this May and quizzes are for the advanced trainees.

It was my 1st try and I couldn’t help but to getting clues from some famous challenges and Google search.
→ Hint !!!

and It will not be that difficult for them. LOL

I really want them to have fun with my humble questions. Good Luck Guys~

PS. One of them is about steganography.
+ you can solve all the problems with open-source or demo programs w/o programing or scripting

AP : Cisco Aironet 1100

무선랜 보안 및 Active Directory 실습 환경을 구축하려는 시도를 하는 와중에

이를 위해 W2K3SP2(Patched Up2date) 2대를 데스크탑에 설치하여
A : DC(with DHCP, DNS)에 인증서비스를 설치하고
B : 도메인가입시키고 IAS를 올려 도메인에 연결…

그 다음 

A에서는 클라이언트 C의 사용자와 컴퓨터를 만들어주고 원격접속 가능하게하고
그룹 정책에서 공개키 정책 세팅해주고 (자동 발급 뭐 그딴거..) 

B에서는 AP를 Radius Client로 잡아주고 원격접속 정책 세팅해주고

C에서 WPA, AES, 인증서… 솨솨솩…붙으려고 했으나…

AP에 인증시도조차하지 않는다는거…..OTL..서버나 AP에 에러로그가 안남으니
완전 난감…..PEAP에 Dynamic WEP으로 그냥할까? 고민하다가….
왠지 억울해서…여기저기 찾다보니

Configuring Secure Wireless Network Access
with Microsoft Windows Small Business Server 2003

이 문서에 나와있는 겁내 중요한 단서!!!
실로 엄청난 비밀이 숨어있었으니…

Apply KB917021

그렇다 팻취를 해야만 하는것이었다. 이런 XX

위 Patch를 적용하고 나면 
개방모드, 공유모드, WPA, WPA-PSK 라는 인증옵션이 
개방모드, 공유모드, WPA, WPA2, WPA-PSK, WPA2-PSK 이렇게 늘어나게 된다.

아마 WPA-PSK에 AES걸고 쓰고 싶은데 잘안되서 TKIP 쓰고계신 분들도
KB917021 이 팻치 적용하면 무난하게 사용 가능하실듯…헐…….. 

Direct Memory Access를 이용한

Windows Physical Memory Forensics 정리(????? -_- 현재까지…)판

msramdmp, 1394memimage, winlockpwn 사용법등 정리
(기존 포스트는 자삭~~~)

directmemoryaccess.pdf

fdisk를 이용해서 filesystem 2개를 잡고 (/dev/sda1, /dev/sda2)

mkfs.ext3 /dev/sda1, mkswap /dev/sda2

그리고 /dev/sda1을 마운트 시키는 과정 까지는 기존(back Track 2) 방식과 동일하나…

X-Window(KDE) 환경에서 backtrack installer를 돌릴때

bt3.jpg

위 그림에 흰색 박스의 체크를 없애주어야

HDD(/dev/sda1)에 인스톨후 정상적인 부팅이 가능하다.  🙂

오늘의 tip ㅋ

현재는 1G 짜리 USB에

TrueCrypt 실행파일과 mount 대상 파일만 넣고

그래도 비는 공간을 그림파일과 txt 파일로 꽉꽉 채워 넣은 다음

(아~~ 지긋지긋한 autorun.ini with .vbs ; USB Worm 때문에)

TrueCrypt 이미지에 PortableApps 올려서 사용중인데….

더 좋은 방법 없을까???

– Virtual Application에 대한 소고-

일단 MojoPac 은 USB Stick에서 돌리기에는 프로그램이 너무 무겁고
지원되는 소프트웨어가 의외로 작으며

Thinstall은 최대한 Host 독립적으로 프로그램을 만들려면 Size가 너무 커진다.

– 숙제

1. 일반 USB를 파티셔닝 해서 CDFS를 만드는법
True Crypt를 Read-Only CDFS에 넣고 나머지 파티션을 통으로 암호화 하고 싶다규!

2. Thinstall 을 이용한 Standalone Application을 완벽하게 Host 독립적으로 만들어내기

얼마전에 네이버 카페 검색을 하다가….우연히…
hx4700에 간단한(?) 롬업데이트를 통해 WM6를 올릴수 있다는 얘기가 있어서

※ hx4700은 꽤 오래된 모델이지만 “해상도”(QVGA가아닌 진짜 VGA)와 “무선랜, 블루투스, IrDA, CF Slot, SD Slot” 등의 엄청난 인터페이스 지원 덕분에 아직도 중고 시장에서 30~40만원 대에 거래되고있다.

다른분이 사적인 용도로 사용하고 계시던 hx4700을
WM6의 외부저장소(혹은 기억장치 카드) 암호화 기능을 테스트해야한다는 미명하에
빼앗아 와서 하라는 테스트는 안하고 2-3시간 삽질끝에

HX4700 ← WM6, Real VGA, Play YouTube Video with TCPMP

라는 기본 세팅을 완료했다. (한글 폰트 및 키보드는 일단 PASS~~~)

1. WM6
– 네이버의 “하이엔드PDA” 라는 카페에서 쉽게 갈 수 있을듯 했으나
나의 회원등급이 매우 허접한 관계로..그냥 구박사님께 물어봐서 어렵게 설치 했다.

– 설치 방법 : http://forum.brighthand.com/showthread.php?t=246529
쉬워 보이지만 의외로 잘 안된다.
롬파일 다운로드후 압축파일에 포함된 Readme 파일 대로 해보고 잘안되면
롬 업로드만 Chrismrulz의 BootLoader를 이용하는게 나은것 같다.
자기(BootLoader)가 알아서 rar 압축푼다고 하는데 잘안되서 압축 그냥풀고
.nb0 파일로 직접 올렸다.
시간이 많이 걸리므로…백돌만들고 싶지 않으면 지루해도 참는건 센스!!!

2. Real VGA
http://forum.xda-developers.com/showthread.php?t=327830

Normal abnormal

기본설정인 192dpi를 96dpi로 바꾸면 이렇게 된다.
(96은 좀 무리고 128정도가 적당하지 않은가 한다)

3. TCPMP + .flv + .m3u
이건 그냥 아래 파일 다운 받아서 압축 풀고 “TCPMP WM6-1 Instructions.txt”가
시키는 대로 하면 된다.
http://rapidshare.com/files/91614567/TCPMP___FLV.rar

얼마전에 m8100(wm5)에 tcpmp 깔고 flv 파일 플러그인 설치는 했었는데
.flv 파일을 다운받은 다음 PDA로 옮겨야해서 아무래도 불편….
Real Time으로 유튜브 전송해서 보니까 좋다….ㅋㅋ m8100도 개선이 필요하다

4. 추가로…
원래 PDA를 Remote Control 할때 마소의ASRDisp를 썼었는데
wm6 지원이 안되는건지 hx4700 해상도가 너무 좋아서 그러는 건지
화면이 깨져나와서 mymobiler라는걸 써봤는데아주 쓸만하다. 강추

http://infosys.iptime.org/tt1/508

transcend-jetflash-v35-220_big.jpg (image)
트랜센드 JF220이라는 지문인식 USB 메모리스틱을 테스트해본 결과
역시 완벽한 보안성을 가지지는 못한것으로 판단 된다.
(Cutie-Bio 처럼 어의 없는 취약점은 아니었지만…)

지문인식으로만 인식이 가능한 보안영역에 파일을 넣어둔 상태에서
분실 했다고 가정했을 경우

벤더가 제공하는 Re-Partitioning tool을 이용해서 보안영역을
비보안영역으로 다시 구성(파티셔닝)해버리면 원래 보안영역에 저장했던
데이터들이 각종 포렌식 툴에서 복구(혹은 복원)가 가능함이 발견되었다.

파일 하나하나를 벤더에서 제공하는 암호화 소프트웨어를 이용해
암호화를 시키면 (아직 까지는)복구가 불가능하기 때문에
나름대로 해결책(workaround)이라고 말할수도 있겠지만
사용자가 그만큼 불편해지는 데다가
그렇게 사용할꺼라면 굳이 지문인식 USB를 사용할 필요가 없으므로 PASS!

역시 소프트웨어를 이용해 외장 저장장치 보안을 하기란 쉽지 않은듯…

I’ve tested Transcend JF220 USB thumb-drive and found an interesting fact.
(I’m not sure weather it’s security vulnerability or not… LOL)

JF220 lets you have “secure area” which can be accessed only by a fingerprint or a password which were set in advance and “general area” which can be accessed by anyone else who “owns” this thumb drive physically.

Now, let’s say that you lost this drive with files inside the “secure area”.
You may think it wouldn’t be possible to retrieve those “important” files because they are inside the “SECURE” area.
But, unfortunately, anyone who “accidentally” owns your JF220 can restore(or recover) those files by re-partitioning the areas.
(i.e “4G-secure + 4G-general” -> “50M-secure + 7.5G-general”)

You can re-partition areas by the software in the installation CD.

[work around]
You have to encrypt file by file when you write files in “secure area”

Blogged with Flock

Tags: , , ,

With a shared-key authentication process the AP sends challenge text to the client in clear text, and then the client encrypts it and sends it back to the AP. If someone is sniffing or monitoring your transmission while this was happening, they could intercept a sample of plain text with its corresponding encrypted text. This gives the hacker a tremendous head start when attempting to break your encryption key, because all of the information to perform the decryption is contained in these two pieces of data.

Conversely, the open network authentication system doesn’t pass on any information to the client in plain text, just the corresponding encrypted text. By removing that information, the process of breaking your encryption key is far more difficult. Since both authentication methods can use WEP, an open system is the preferred encryption method to employ. Because it doesn’t pass on any additional data about the key, it’s considered to be more secure. LOL