목록포렌식 (54)
Piki's Play
무료로 사용하는 포렌식 툴을 목적이랑 같이 적어놨습니다!! ▶ Live CD -> 실행되는 환경보다 이동장치 단에서 실행되는 도구를 말한다. 1) BackTrack -> 포렌식보다 모의해킹에 더 특화된 Live CD. 그러나 디지털 포렌식 툴들이 추가되는 중 2) SIFT -> 정보보호 교육기관인 SANS에서 개발한 포렌식 도구 3) DEFT -> SIFT와 마찬가지로 포렌식만을 위한 Live CD 도구. 윈도우 대상 4) Santoku -> 우분투 기반에 모바일 앱 위주의 악성코드 분석 도구 ▶ Disk Imaging -> 디스크 이미징 도구는 필수적. 하드디스크와 파일시스템에서 디지털 흔적을 제일 많이 발견함 1) FTK Imager -> AccessData사에서 개발한 도구. 이미징 기능뿐 아니라 ..
개인 공부용이므로 내용이 부실할 수 있습니다! Section 1. PE(Portable Executable)분석 -> PE파일 포맷은 윈도우에 해당하는 파일 포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx 확장자를 가진 파일들에게서 볼 수 있다. 윈도우에서 이 실행파일들을 IMAGE라는 명칭으로 구조체를 칭한다. (DOS 영역, PE Header 영역, Section Header 영역, Section 영역)-> ▶ DOS 영역 -> 윈도우 실행파일을 Dos 환경에서 실행하려고 할 때 사용자에게 에러를 보여줌 그러나 윈도우에서 DOS영역에서 실행하는 경우는 많지는 않음 ▷ DOS MZ Header 1. e_magic : 이 구조체 멤버는 DOS MZ Header..
개인 정리용이라 내용이 부실할 수 있습니다! ▶ 루트키 -> 총 5개로 이루어져 있다. (HKLM, HKCU, HKLM, HKU, HKCC) ▷ HKEY_CLASSES_ROOT -> 파일 확장자와 확장자가 사용할 프로그램의 맵핑 정보가 정의되어있다. -> HKCR은 자신만의 서브키가 없고 HKLM과 HKU의 Classes 서브키 심볼릭 정보를 가져와 자신의 서브키로 만든다. ▷ HKEY_CURRENT_USER -> 현재 시스템에 로그온하고 있는 사용자가 설정한 시스템 환경정보(네트워크, 응용 프로그램 등의 정보)가 정의되어 있다. -> HKU에서 가져온 것들을 서브키로 두고 있다. ▷ HKEY_LOCAL_MACHINE -> 시스템의 하드웨어 구성에 필요한 초기화 파일과 소프트웨어 정보, 드라이버 정보 등..
*디지털 포렌식의 세계는 개인 공부용입니다!! 정리가 대충되어있을 수 있습니다.* ▶ 메모리 분석 메모리 : 프로세스가 사용한 데이터, 프로세스 자체, 웹 브라우저를 통해 전송된 정보, 복호화된 데이터 ▷ 메모리 분석의 관심과 장,단점 1. 하드디스크에서 실행되지 않고 메모리상에서 바로 실해오디는 악성코드의 존재 2. 사용자 응용 프로그램의 프라이버시 보호 기능 강화 -> 암호화나 개인정보보호가 중요해지면서 악성코드조차도 보호하기도 함. 그런데 실행하기 위해서 복호화가 되어야 하므로 이때를 알기 위해서는 메모리 분석이 중요. 3. 안티 포렌식 기술의 확산으로 하드드라이브에 존재하고 있는 데이터의 무결성 불완전 ※ 라이브 포렌식과의 차이(라이브 포렌식이 메모리 포렌식보다 안좋은점) 1. 도구의 신뢰성 저하..
- 이번장에서는 UFS1, UFS2 파일시스템을 구성하는 데이터 구조체를 설명한다. 데이터 구조체 레이아웃과 해당 구조체들이 파일시스템 이미지에서 어디에 위치하는지 예를들어 설명하겠다. - 이전 장에서 언급한것 처럼 UFS 데이터 구조체는 다른 형식으로 값들을 저장하기 위해 여러 필드들을 포함하고있다. 예를들어 블록크기를 저장하기 위해 조각 개수와 바이트 개수 둘다 저장한다. 이렇게 다른 형식들을 제공하는 것은 운영체제가 매번 다른 값들을 계산하는 번거로움을 피하기 위해서이다. 어떤 운영체제는 오직 바이트 기반으로 블록크기를 결정하고, 다른 것들은 조각 크기로 블록크기를 결정할 수 있다. 이 장에서는 여러 형식들 중 하나만 확인하겠지만, 그 형식이 모든 도구나 운영체제들에서 적용될지는 장담할 수 없다. ..
16.5 파일 이름 범주 - 파일이름 범주는 inode와 다른 메타데이터에 사람이 읽기 가능한 이름들을 할당하는 데이터이다. 이 절에서는 UFS가 데이터를 어디에 저장하는지, 그리고 어떻게 분석하는지 설명하도록 하겠다. ▶ 개요 - UFS1과 UFS2는 ExtX와 동일한 파일이름 데이터 구조체를 사용한다. 디렉토리 엔트리 데이터 구조체는 파일의 이름, inode 주소, 그리고 유형 값을 저장한다. 구조체의 길이는 최대 파일의 길이가 255개 문자인 이름 길이를 참조한다. 이름은 ASCII로 저장되고, Ext이름은 null로 끝나지 않았지만 UFS에서는 null로 끝난다. - 디렉토리 엔트리 구조체들은 디렉토리에 할당된 블록에 위치한다. 디렉토리들을 일반 파일과 다르게 타입이 모드필드에 디렉토리로 설정이 ..
16.3 내용 범주 -> 내용범주는 파일과 디렉토리를 포함한다. 이 절은 UFS 파일과 디렉토리 내용을 어디에 저장하는지와 그것을 어떻게 분석하는지 설명하겠다. ▶ 개요 - UFS는 파일과 디렉토리를 저장하기 위해 조각과 블록을 이용한다. 조각(fragment)은 연속적인 섹터의 그룹이고, 블록(block)은 연속적인 조각의 그룹이다. 모든 조각들은 주소가 있고, 0으로 시작한다. 또한 블록주소는 조각의 첫 주소로 지정된다. 첫 블록과 조각은 파일시스템의 첫 번째 섹터이다. 블록의 최소크기는 4096바이트이고 블록의 조각 개수는 8개가 최대이다. ※ 아래 그림은 블록과 조각의 관계를 보여준다. -> 조각 64와 71일 포함하는 블록 64는 파일에 할당되었고, 조각 74와 75는 다른 파일에 할당되었다. ..
-> UFS(Unix File System)는 다양한 종류가 있으며 FreeBSD, HP-UX, NetBSD, OpenBSD, 애플 OS X, Sun 솔라리스 같은 유닉스 시스템에서 사용하는 파일시스템이다. 많은 운영체제들이 자신들에게 맞게 지속적으로 데이터 구조체들을 수정했지만, 내부구조의 개념은 거의 동일하다. 현재 이 파일시스템은 UFS1과 UFS2 두 종류가 있고, UFS2는 대용량 디스크와 더 큰 시간스탬프를 지원한다. 하지만 이 책에서는 두 파일시스템을 UFS라는 용어로 통일해서 사용하겠다. 수사관들은 유닉스 서버를 조사할 때 UFS 파일 시스템을 분석할 수 있다. Ext2와 Ext3는 UFS를 기반으로 발전했으며, 그 이유에 대해서는 앞장에서 상세히 설명했다. 이 장은 "Ext2와 Ext3 ..