공부용

Volatility Cridex 정리 과정더보기운영체제 식별 : WinXPSP2x86 프로세스 검색 : reader_sl.exe(1640)가 수상한 프로세스로 보임 네트워크 분석 : 공격자 IP : 41.168.5.140:8080PID : 1484(explorer.exe)CMD 분석 -> 결과 없음 파일 분석 및 덤프filescan 결과로부터 reader_sl.exe 추출dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매프로세스 세부 분석procdump 이용하여 reader_sl.exe 실행파일 추출 -> Virustotal 검색 -> 확실memdump 이용하여 reader_sl.exe 메모리 영역 덤프 -> strings 명령어 이용 -> 수상한 URL들 발견 분석 결과 분석할 것..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 파일 시스템 이해2. 파티션과 MBR3. FAT 파일 시스템파일 시스템 : 디지털 데이터를 하나의 객체(파일)로 취급하면서 쉽게 사용할 수 있도록 관리하는 방식 1. 파일 시스템 이해1) 파일 시스템 소개원하는 파일을 빠르게 읽고 쓰기 위해서는 파일 시스템의 도움이 필요하다. 파일 시스템은 운영체제나 저장 매체별로 다양하게 사용된다.윈도우 운영체제에서 사용하는 파일시스템 : FAT, NTFS 2) 파일 시스템 구조각 운영체제는 독자적인 파일 시스템을 사용하지만, 대부분 메타 영역과 데이터 영역으로 나뉘는 추상화된 구조를 가진다.메타 영역데이터 영역메타 영역 : 파일의 이름, 위치, 크기, ..

GrrCon2015 풀이*편의상 대부분은 경로를 생략하고 디렉토리명이나 파일명만 적었다.  역시 terminal(Windows Powershell)을 이용해야 한다. cd ./desktop/GrrCon2015 volatility -f Target1 imageinfo Suggested Profile : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 중 아무거나 임의로 뽑아서 실습에 사용해 본다. volatility -f Target1 --profile=Win7SP1x86 pslist > pslist.log volatility -f Target1 --profile=Win7SP1x86 psscan > psscan.log volatility -f Target1 --profile=Win..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 파일 복구2. 검색 기술3. 타임라인 분석4. 시스템 사용 흔적 분석5. 스마트폰 사용 흔적 분석6. 안티 포렌식 기술과 대응7. 기타 분석 기술1. 파일 복구디지털 포렌식 분석을 위해서는 삭제된 파일의 복구가 선행되어야 한다. 대부분의 운영체제는 파일을 삭제하면, 삭제했다는 표시만 하고 실제로 해당 파일은 그대로 남겨둔다. 즉, 파일 A가 삭제되면 그 파일의 데이터가 그대로 유지된 채 미할당 영역이라 표시하는 것이다.해당 영역이 덮어 써지지 않으면 파일 복구 도구를 이용하여 복구할 수 있다. 파일 복구는 파일 시스템에서 미할당 영역을 추출하고 데이터가 존재하면, 해당 데이터를 해석하여 그..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015 목차더보기1. 조사 대상 매체 파악2. 활성 시스템 조사3. 저장 매체 이미징4. 임베디드 시스템 증거 확보원칙원본을 있는 그대로 보존하면서 수집할 것, 원본을 보존할 수 없는 경우는 최대한 원본과 유사한 형태로 수집할 것관련 내역을 모두 기록할 것6장에서는 이러한 원칙을 유지하면서 상황에 맞게 디지털 증거를 수집하는 절차와 기술에 대해 살펴본다. 1. 조사 대상 매체 파악1) 조사 대상 시스템 확보 ① 컴퓨터 시스템 확보증거가 될 수 있는 모든 것을 확보한다. 특히 하드 디스크 드라이브와 같은 저장 매체에는 주요 증거물이 저장되어 있을 가능성이 크다. 하드 디스크 드라이브는 이미징(Imaging) 과..

섹션3침해사고 대응기법 -> 메모리 포렌식메모리 : 프로그램이 올라갈 수 있는 공간  사전 준비더보기도구 설치 : Volatility - 메모리 관련 데이터를 수집해주는 도구이다.Windows Terminal - Windows11은 기본으로 깔려있으나 Windows7, 10의 경우에는 따로 설치해야 한다. Microsoft Store에 들어가서 Windows Terminal을 검색해 설치할 수 있다.https://drive.google.com/file/d/13KhjlrVkPLUlkEytp8jzWD1eaAhl6-q_/view?pli=1  환경 설정 : 시스템 환경 변수 설정Windows+S키 -> 시스템 환경 변수 검색 -> 고급 탭의 환경 변수 -> Path 편집, volatility 파일 경로 추가하기..

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.이상진, 「디지털 포렌식 개론」, 이룬, 2015목차더보기1. 개요2. 디지털 포렌식 조사 모델 1. 개요디지털 포렌식 수행 절차에서는 디지털 포렌식 조사의 각 과정을 단계별로 개념화, 체계화하여 기본 원칙과 수행 방법을 제시한다.목적: 법적인 증거로 사용될 수 있도록 한다. 각 절차에서는 다음과 같은 사항들이 지켜져야 한다.적법절차 준수피조사자의 인권을 보장해야 한다. 프라이버시 침해 문제가 발생할 수 있기 때문이다. 따라서 적법하게 접근할 수 있는 영역 내에서 조사해야 한다.원본의 안전한 보존 및 무결성 확보증거 분석은 반드시 복제본에서 수행해야 한다. 또한 데이터 수집 이후 어떠한 변경도 없었다는 것을 입증할 수 있는 기술적 절차를 따라야 한다...

섹션 1 디지털 포렌식이란?디지털 포렌식은 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야이다. => 디지털 장치(컴퓨터 장치가 들어가는)들을 대상으로 과학수사를 하는데, 증명된 과학적 기반이 있는 기법들을 이용해서 컴퓨터와 관련된 디바이스에서 정보를 수집한다. 그리고 그것을 범죄수사 등에 이용한다. *법과학=포렌식=과학수사  디지털 포렌식의 필요성컴퓨터 관련 범죄뿐만 아니라, 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아졌다.또한, 범죄수사 이외의 분야에서도 활용도가 높아졌다.-형사사건이 아닌 민사사건에서의 포렌식-일반기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등)  디지털 포렌식의 유형침해사고 대응증거추출실시..