목록포렌식/디지털포렌식의 세계 (4)
Piki's Play
무료로 사용하는 포렌식 툴을 목적이랑 같이 적어놨습니다!! ▶ Live CD -> 실행되는 환경보다 이동장치 단에서 실행되는 도구를 말한다. 1) BackTrack -> 포렌식보다 모의해킹에 더 특화된 Live CD. 그러나 디지털 포렌식 툴들이 추가되는 중 2) SIFT -> 정보보호 교육기관인 SANS에서 개발한 포렌식 도구 3) DEFT -> SIFT와 마찬가지로 포렌식만을 위한 Live CD 도구. 윈도우 대상 4) Santoku -> 우분투 기반에 모바일 앱 위주의 악성코드 분석 도구 ▶ Disk Imaging -> 디스크 이미징 도구는 필수적. 하드디스크와 파일시스템에서 디지털 흔적을 제일 많이 발견함 1) FTK Imager -> AccessData사에서 개발한 도구. 이미징 기능뿐 아니라 ..
개인 공부용이므로 내용이 부실할 수 있습니다! Section 1. PE(Portable Executable)분석 -> PE파일 포맷은 윈도우에 해당하는 파일 포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx 확장자를 가진 파일들에게서 볼 수 있다. 윈도우에서 이 실행파일들을 IMAGE라는 명칭으로 구조체를 칭한다. (DOS 영역, PE Header 영역, Section Header 영역, Section 영역)-> ▶ DOS 영역 -> 윈도우 실행파일을 Dos 환경에서 실행하려고 할 때 사용자에게 에러를 보여줌 그러나 윈도우에서 DOS영역에서 실행하는 경우는 많지는 않음 ▷ DOS MZ Header 1. e_magic : 이 구조체 멤버는 DOS MZ Header..
개인 정리용이라 내용이 부실할 수 있습니다! ▶ 루트키 -> 총 5개로 이루어져 있다. (HKLM, HKCU, HKLM, HKU, HKCC) ▷ HKEY_CLASSES_ROOT -> 파일 확장자와 확장자가 사용할 프로그램의 맵핑 정보가 정의되어있다. -> HKCR은 자신만의 서브키가 없고 HKLM과 HKU의 Classes 서브키 심볼릭 정보를 가져와 자신의 서브키로 만든다. ▷ HKEY_CURRENT_USER -> 현재 시스템에 로그온하고 있는 사용자가 설정한 시스템 환경정보(네트워크, 응용 프로그램 등의 정보)가 정의되어 있다. -> HKU에서 가져온 것들을 서브키로 두고 있다. ▷ HKEY_LOCAL_MACHINE -> 시스템의 하드웨어 구성에 필요한 초기화 파일과 소프트웨어 정보, 드라이버 정보 등..
*디지털 포렌식의 세계는 개인 공부용입니다!! 정리가 대충되어있을 수 있습니다.* ▶ 메모리 분석 메모리 : 프로세스가 사용한 데이터, 프로세스 자체, 웹 브라우저를 통해 전송된 정보, 복호화된 데이터 ▷ 메모리 분석의 관심과 장,단점 1. 하드디스크에서 실행되지 않고 메모리상에서 바로 실해오디는 악성코드의 존재 2. 사용자 응용 프로그램의 프라이버시 보호 기능 강화 -> 암호화나 개인정보보호가 중요해지면서 악성코드조차도 보호하기도 함. 그런데 실행하기 위해서 복호화가 되어야 하므로 이때를 알기 위해서는 메모리 분석이 중요. 3. 안티 포렌식 기술의 확산으로 하드드라이브에 존재하고 있는 데이터의 무결성 불완전 ※ 라이브 포렌식과의 차이(라이브 포렌식이 메모리 포렌식보다 안좋은점) 1. 도구의 신뢰성 저하..