Kitri_NCS3기 보안과정 썸네일형 리스트형 170512 디지털포렌식의 특성 디지털 포렌식의 특성 - 절차적 연속성 - 연계 보관성- Chain of Custody 증거수집 과정 전반에 걸쳐 수집과정에 대해 모든 과정을 기록하는 것녹화한 영상, 사진, 증거 밀봉 시 라벨링, 이관절차의 기록 등일려늬 과정들이 모두 문서로 입증되어야함대검찰청에서 사용중인 서식 압수 → 이송 → 분석 과정에 다른 외부의 개입등이 없는지 감시하고 검증이 되야 한다. 진정성수집된 증거는 어떠한 변화도 있어선 안됨증거가 조작되지 않았다는 것을 증명해야 함증거의 무결성 보장을 위해 증거 수집시 해쉬값으로 증거와 고유값을 저장MD5 , SHA-1,-2 등 일방향성 암호화 알고리즘을 사용→ 2004년 MD5 알고리즘 무결성 파괴당함 2^40승 연산으로 동일 해쉬값 생성 가능 → 2005년 sha-1 알고리즘 무.. 더보기 170511 타임라인분석 타임라인 분석이란? 사건이 일어난 시점을 중심으로 생성/수정/삭제/접근한 파일을 살펴보는 것이다. 분석대상에 대한 우선순위 선별로 효율적인 분석 가능침해 대응시 공격자가 모든 시간정보를 변경하기 어렵다는점 이용, 공격에 대한 단서 및 추적 용이. 등의 효과를 볼 수있다. 모든 분석작업에서 기본적으로 시간데이터는 함께 분석 되기 때문에 중요하다고 볼 수 있다. 파일에 대한 생성/이동/복사 등에 대한 작업을 실행 할 때 MAC time 은 어떤 상태를 보이는가 복사이동생성시간 변경유지수정시간 유지유지접근시간 변경변경 * 타임스탬프 : 파일 타임 스탬프는 1601년 1월 1일 12:00AM, UTC(Coordinated Universal Time) 을 시작으로 100나노세컨드단위로 64비트값으로 저장된다. 시.. 더보기 170511 FAT32 복구 실습 실습 1. FAT로 데이터 복구하기 실습으로 주어진 이미지 파일을 열어보니 root directory가 비어있음. entry를 확인 할 수 없으니 FAT상의 클러스터 정보로 파일을 추출해 보자. 각 색 별로 5개의 파일이 있음을 확인 할 수 잇다. root directory의 정보가 없기 때문에 단순히 fat와 클러스터를 매칭시켜 데이터를 긁어서 복구 하는 방법을 사용한다. FAT에서 파일의 클러스터 시작과 끝정보를 알아내고 데이터영역에 있는 파일을 긁어서 파일로 생성하면된다. 두번째 파일을 예로 들면 0x28~0x2A의 클러스터 범위를 사용했다.0x27 = ( 39 -2 ) * 4(sector per cluster) = 148 sector + 8320(root directory의 위치) = 8468 s.. 더보기 FAT32(LFN의 개념과 HxD에서 파일생성하기) LFN(Long File Name) root directory 나 sub directory entry에서는 기본적으로 SFN으로(파일의 이름이 8자 이하)로 생성된다. 8자 이상의 이름을 가진 파일은 LFN이라는 정보를 entry에 같이 가지고 생성이 된다. 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 Order name 1 Attribute Type checksum name2 name2 first cluster low name 3 Offset길이(byte) 설명 Order0x01 1 LFN은 01 부터 순차적으로 증가 하며 마지막은 0x40 | 0x0n 을 한 값이다. Name1 0x02 9 1~5번째 문자열 Attribute 0x0B 1 0x0F로 고정 (0F.. 더보기 170428 FAT32 1. FAT란 ?USB 메모리 ,SD 카드에 많이 쓰이는 방식으로 파일시스템의 일종이다. File Allocation Table로 불리며 운영체제에 따른 영향을 많이 받지 않고 널리쓰이는 호환성 좋은 파일 시스템중 하나이다. ※ 파일을 실행할때 파일은 어떻게 우리에게 나타날까파일을 실행하면 Directory entry에 있던 파일의 목록에서 위치등을 알아낸 후에 FAT 영역에서 파일의 크기를 알아내고 DATA영역에서 그 크기만큼 할당된 파일을 불러온다고 한다. [구조] Partition장치- 하드 드라이브같은 파티션장치에서는 파티션을 정의하는 MBR이 첫번째 섹터이다. Sector 영역 Cluster 영역 Hidden SectorReserved Sector FAT(File Allocation Table).. 더보기 170427 사고대응과 분석 실습 http://www.woanware.co.uk/forensics/index.html 포렌식 무료 툴 제공 사고대응 휘발성데이터 수집 : 전원이 끊어지면 소실되는 데이터 process , Password, IP address, event log 등 악성코드 관련내용이 포함되어 있을 수 있다.우선순위 고려 , 수집 유의→ RFC3227 : 휘발성 데이터 수집시 우선순위 선별조치 가이드라인 ※ 휘발성 데이터를 수집할 경우 (증거수집) 무결성 훼손에 주의 해야한다.메모리 덤프시 - USB 연결 : Setup APL log 변경( 드라이버인스톨) , event log 남음, redgit 변경 등- 폴더 오픈 : shell back 등 .. 더보기 170426 NTFS 에서 MBR , VBR 복구해보기 가상장치에 로드되는 윈도우 7 파일을 실습대상.현재 이 파일은 어떤 영역이 HASTATI라는 글자로 덮어씌워졋다. 어떤 영역인지 어떻게 복구하는지 알아보자! HxD 로 열어본 win 7VMDK 가보인다. 가상장치의 구조는 하드와는 조금다르다. 처음 시작은 MBR 아닌 VMDK의 헤더이다. MBR을 찾기위해선 VMDK의 헤더를 분석해야 한다. VMDK 에서 MBR의 시작위치는 offset 40 ~ 47에 있다.28 80 이다. (리틀엔디안 방식이기 때문)0x2880 = 10368 이므로 10368 섹터로 이동하자MBR의 영역이 HASTATI. 글자로 덮어 씌워진것을 확인 할 수 있다. HASTATI로 검색을 더 해보니 10496 섹터와 15616 섹터에서 확인 할 수 있었다. 10368 = MBR10496.. 더보기 170426 NTFS - VBR(Volume Boot Record) NTFS 의 구조 Volume Boot Record Master File Table Data Area VBR.bak NTFS의 구조중 VBR에 대해 살펴보자. 포멧된 드라이브의 가장 앞부분에 위치하며 부트 섹터로서 추가적인 부트코드가 저장되어있다.VBR의 위치를 보면 처음과 마지막 섹터에 위치하는데 마지막섹터에 있는 VBR은 백업 본이다.(FTP32의 경우 처음 BR에서 + 6 섹터를 지나면 백어본이 있다.)VBR의 크기VBR의 크기는 클러스터에 따라간다. 고정값을 가지는 FAT방식과는 차이점을 보임. 클러스터(byte) VBR (sector) 섹터가 하나일때 , 그 이상일때 512 1 VBR 자체가 부트섹터 1k 2 추가적인 부트코드 저장, NTLDR의 위치 저장 용도로 사용 2k 4 4k 8 부트섹터.. 더보기 170424 MBR 디스크에서 가장 중요한 데이터 구조체MBR에는 작은 크기의 부트 코드와 디스크 시그니처, 파티션 테이블이 포함되어 있으며,마지막 2바이트는 MBR의 끝을 나타내는 "55 AA" 시그니처가 존재. 항상 섹터 끝에 존재 MBR의 역할은? 부팅 가능한 파티션(활성 파티션)을 탐색부팅 가능한 파티션의 시작 섹터 탐색부팅 가능한 파티션의 부트 섹터를 복사에 메모리에 로드 부트 섹터에서 실행코드 실행 ** Floppy Disk에는 MBR이 존재하지 않음. 첫번째 섹터에 바로 부트 코드 존재파티션 테이블(Partition Table)이란? 파티션 테이블은 64바이트의 구조체로 하드디스크에서 파티션의 위치, 타입 정보를 담고 있음파티션 테이블은 총 4개의 파티션 테이블 엔트리 가지고 있으며, 각 16바이트의 크기를 가.. 더보기 170424 디지털포렌식 개요 전통적인 포렌식 절차로 본 디지털 포렌식 사건이 발생 한 후 사건에 대한 분석에서 적용되는 기본적인 개념- 전달, 식별, 개별화, 연관성, 재구성 의 개념화 Inman K, Rudin N(2002), "The origin of evidence." 의 논문에 기술된 패러다임. 증거 형성( 증거의 기원) 에 대한 형성의 절차 및 방식 정의. 사건이 발생하면 분할될수 있는 물질(Divisible Matter) 에서 물질(Metter)과 특성(traits)이라는 개념이 생긴다. 가령 차량사고의 경우 충돌로인한 차량에서 발생한 떨어져나온파편( 파편은 주변으로 흩어지거나, 충돌한 상대방에게 묻거나 등의 움직임을 보일것) 과 차량자체의 변형이 있을것이다. 파편에 대한 이해를 물질로 생각하고 충돌로인한 차량의 변형을 .. 더보기 이전 1 2 3 4 5 6 7 8 다음
