공부용

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 윈도우 레지스트리2. 윈도우 아티팩트3. 웹 브라우저1. 윈도우 레지스트리1) 레지스트리 소개레지스트리(Registry) : 윈도우 운영체제와 응용프로그램 구동에 필요한 정보를 저장하는 계층형 데이터베이스부팅 과정/로그인/서비스 실행/응용프로그램 실행/사용자 행위 등 거의 모든 활동에 관여윈도우 시스템 분석의 필수 요소로, 운영체제 정보/사용자 계정 정보/시스템 정보/응용프로그램 실행 흔적/최근 접근 문서/자동 실행 항목/저장 매체 사용 흔적 등의 다양한 정보 획득 가능 2) 하이브(Hive) 파일레지스트리는 계층형 구조로 구성되어 있다. 최상위 폴더에 해당되는 부분은 루트키(Root Ke..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 해쉬 함수2. 전자 서명3. 시점확인 서비스4. 디지털 증거의 인증디지털 데이터는 훼손되기 쉬우며, 따라서 데이터를 수집한 이후부터는 위/변조되지 않았음을 입증할 수단이 필요하다. 대표적인 입증 기술로는 메시지 인증 코드(Message Authentication Code)와 전자 서명이 있다. 메시지 인증 코드는 사전에 키 공유 후, 데이터 전송 도중 위/변조되었는지 확인하는 방법이다. 제 삼자에게 데이터가 위/변조되지 않았음을 입증하는 것이 어렵다. 이를 극복한 것이 전자 서명이다.전자 서명은 개인키를 갖고 있는 자만이 해당 데이터에 서명 값을 생성할 수 있고 그 외의 사람은 공개키를 이..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기4. NTFS5. 디지털 포렌식 관점에서의 파일 시스템 분석6. 파일 복구4. NTFS1) NTFS 소개NTFS(New Technology File System) : 윈도우 NT부터 사용되기 시작한 파일 시스템USN 저널(Update Sequence Number 또는 Change Journal) : 파일의 변경 내용을 기록하는 로그, 오류 발생 시 시스템이 재부팅될 때 완료하지 못한 작업을 복원한다.ADS(Alternate Data Stream) : Sparse 파일 : 파일의 데이터가 0일 때, 실제 데이터를 기록하지 않고 크기 정보만 유지하는 파일파일 압축EFS(Encrypting File ..

Volatility Cridex 정리 과정더보기운영체제 식별 : WinXPSP2x86 프로세스 검색 : reader_sl.exe(1640)가 수상한 프로세스로 보임 네트워크 분석 : 공격자 IP : 41.168.5.140:8080PID : 1484(explorer.exe)CMD 분석 -> 결과 없음 파일 분석 및 덤프filescan 결과로부터 reader_sl.exe 추출dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매프로세스 세부 분석procdump 이용하여 reader_sl.exe 실행파일 추출 -> Virustotal 검색 -> 확실memdump 이용하여 reader_sl.exe 메모리 영역 덤프 -> strings 명령어 이용 -> 수상한 URL들 발견 분석 결과 분석할 것..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 파일 시스템 이해2. 파티션과 MBR3. FAT 파일 시스템파일 시스템 : 디지털 데이터를 하나의 객체(파일)로 취급하면서 쉽게 사용할 수 있도록 관리하는 방식 1. 파일 시스템 이해1) 파일 시스템 소개원하는 파일을 빠르게 읽고 쓰기 위해서는 파일 시스템의 도움이 필요하다. 파일 시스템은 운영체제나 저장 매체별로 다양하게 사용된다.윈도우 운영체제에서 사용하는 파일시스템 : FAT, NTFS 2) 파일 시스템 구조각 운영체제는 독자적인 파일 시스템을 사용하지만, 대부분 메타 영역과 데이터 영역으로 나뉘는 추상화된 구조를 가진다.메타 영역데이터 영역메타 영역 : 파일의 이름, 위치, 크기, ..

GrrCon2015 풀이*편의상 대부분은 경로를 생략하고 디렉토리명이나 파일명만 적었다.  역시 terminal(Windows Powershell)을 이용해야 한다. cd ./desktop/GrrCon2015 volatility -f Target1 imageinfo Suggested Profile : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 중 아무거나 임의로 뽑아서 실습에 사용해 본다. volatility -f Target1 --profile=Win7SP1x86 pslist > pslist.log volatility -f Target1 --profile=Win7SP1x86 psscan > psscan.log volatility -f Target1 --profile=Win..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 파일 복구2. 검색 기술3. 타임라인 분석4. 시스템 사용 흔적 분석5. 스마트폰 사용 흔적 분석6. 안티 포렌식 기술과 대응7. 기타 분석 기술1. 파일 복구디지털 포렌식 분석을 위해서는 삭제된 파일의 복구가 선행되어야 한다. 대부분의 운영체제는 파일을 삭제하면, 삭제했다는 표시만 하고 실제로 해당 파일은 그대로 남겨둔다. 즉, 파일 A가 삭제되면 그 파일의 데이터가 그대로 유지된 채 미할당 영역이라 표시하는 것이다.해당 영역이 덮어 써지지 않으면 파일 복구 도구를 이용하여 복구할 수 있다. 파일 복구는 파일 시스템에서 미할당 영역을 추출하고 데이터가 존재하면, 해당 데이터를 해석하여 그..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015 목차더보기1. 조사 대상 매체 파악2. 활성 시스템 조사3. 저장 매체 이미징4. 임베디드 시스템 증거 확보원칙원본을 있는 그대로 보존하면서 수집할 것, 원본을 보존할 수 없는 경우는 최대한 원본과 유사한 형태로 수집할 것관련 내역을 모두 기록할 것6장에서는 이러한 원칙을 유지하면서 상황에 맞게 디지털 증거를 수집하는 절차와 기술에 대해 살펴본다. 1. 조사 대상 매체 파악1) 조사 대상 시스템 확보 ① 컴퓨터 시스템 확보증거가 될 수 있는 모든 것을 확보한다. 특히 하드 디스크 드라이브와 같은 저장 매체에는 주요 증거물이 저장되어 있을 가능성이 크다. 하드 디스크 드라이브는 이미징(Imaging) 과..

섹션3침해사고 대응기법 -> 메모리 포렌식메모리 : 프로그램이 올라갈 수 있는 공간  사전 준비더보기도구 설치 : Volatility - 메모리 관련 데이터를 수집해주는 도구이다.Windows Terminal - Windows11은 기본으로 깔려있으나 Windows7, 10의 경우에는 따로 설치해야 한다. Microsoft Store에 들어가서 Windows Terminal을 검색해 설치할 수 있다.https://drive.google.com/file/d/13KhjlrVkPLUlkEytp8jzWD1eaAhl6-q_/view?pli=1  환경 설정 : 시스템 환경 변수 설정Windows+S키 -> 시스템 환경 변수 검색 -> 고급 탭의 환경 변수 -> Path 편집, volatility 파일 경로 추가하기..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 개요2. 디지털 포렌식 조사 모델 1. 개요디지털 포렌식 수행 절차에서는 디지털 포렌식 조사의 각 과정을 단계별로 개념화, 체계화하여 기본 원칙과 수행 방법을 제시한다.목적: 법적인 증거로 사용될 수 있도록 한다. 각 절차에서는 다음과 같은 사항들이 지켜져야 한다.적법절차 준수피조사자의 인권을 보장해야 한다. 프라이버시 침해 문제가 발생할 수 있기 때문이다. 따라서 적법하게 접근할 수 있는 영역 내에서 조사해야 한다.원본의 안전한 보존 및 무결성 확보증거 분석은 반드시 복제본에서 수행해야 한다. 또한 데이터 수집 이후 어떠한 변경도 없었다는 것을 입증할 수 있는 기술적 절차를 따라야 한다...