분류 전체보기 썸네일형 리스트형 170512 컴파운드 파일 분석 Compound File Binary Format (CFBF) : 복합 파일, 복합 문서 형식, 여러 파일 및 스트림을 단일 파일에 저장하기 위한 복합문서 파일형식 Compound 파일구조는 FAT와 유사함 파일 → 파일 할당 테이블과 함께 연결된 섹터로 분할됨 디렉토리 → 섹터 ID가 있는 포함된 파일에 대한 정보 구조512바이트 헤더 레코드와 헤더에 정의된 여러 섹터로 구성섹터의 길이는 128*2^n (128, 256, 512, 1024 등....)의 크기를 지원0 sector1 sector HeaderHeader 에 정의된대로 섹터가 구성됨 * 섹터의 길이 하한선이 128인 이유?: 디렉토리 섹터에 단일 디렉토리 항목을 맞추기 위해 필요한 최소값.▷ 섹터의 유형 FAT : 섹터 인덱스 체인 정보Mi.. 더보기 170512 디지털포렌식의 특성 디지털 포렌식의 특성 - 절차적 연속성 - 연계 보관성- Chain of Custody 증거수집 과정 전반에 걸쳐 수집과정에 대해 모든 과정을 기록하는 것녹화한 영상, 사진, 증거 밀봉 시 라벨링, 이관절차의 기록 등일려늬 과정들이 모두 문서로 입증되어야함대검찰청에서 사용중인 서식 압수 → 이송 → 분석 과정에 다른 외부의 개입등이 없는지 감시하고 검증이 되야 한다. 진정성수집된 증거는 어떠한 변화도 있어선 안됨증거가 조작되지 않았다는 것을 증명해야 함증거의 무결성 보장을 위해 증거 수집시 해쉬값으로 증거와 고유값을 저장MD5 , SHA-1,-2 등 일방향성 암호화 알고리즘을 사용→ 2004년 MD5 알고리즘 무결성 파괴당함 2^40승 연산으로 동일 해쉬값 생성 가능 → 2005년 sha-1 알고리즘 무.. 더보기 170511 타임라인분석 타임라인 분석이란? 사건이 일어난 시점을 중심으로 생성/수정/삭제/접근한 파일을 살펴보는 것이다. 분석대상에 대한 우선순위 선별로 효율적인 분석 가능침해 대응시 공격자가 모든 시간정보를 변경하기 어렵다는점 이용, 공격에 대한 단서 및 추적 용이. 등의 효과를 볼 수있다. 모든 분석작업에서 기본적으로 시간데이터는 함께 분석 되기 때문에 중요하다고 볼 수 있다. 파일에 대한 생성/이동/복사 등에 대한 작업을 실행 할 때 MAC time 은 어떤 상태를 보이는가 복사이동생성시간 변경유지수정시간 유지유지접근시간 변경변경 * 타임스탬프 : 파일 타임 스탬프는 1601년 1월 1일 12:00AM, UTC(Coordinated Universal Time) 을 시작으로 100나노세컨드단위로 64비트값으로 저장된다. 시.. 더보기 170511 FAT32 복구 실습 실습 1. FAT로 데이터 복구하기 실습으로 주어진 이미지 파일을 열어보니 root directory가 비어있음. entry를 확인 할 수 없으니 FAT상의 클러스터 정보로 파일을 추출해 보자. 각 색 별로 5개의 파일이 있음을 확인 할 수 잇다. root directory의 정보가 없기 때문에 단순히 fat와 클러스터를 매칭시켜 데이터를 긁어서 복구 하는 방법을 사용한다. FAT에서 파일의 클러스터 시작과 끝정보를 알아내고 데이터영역에 있는 파일을 긁어서 파일로 생성하면된다. 두번째 파일을 예로 들면 0x28~0x2A의 클러스터 범위를 사용했다.0x27 = ( 39 -2 ) * 4(sector per cluster) = 148 sector + 8320(root directory의 위치) = 8468 s.. 더보기 FAT32(LFN의 개념과 HxD에서 파일생성하기) LFN(Long File Name) root directory 나 sub directory entry에서는 기본적으로 SFN으로(파일의 이름이 8자 이하)로 생성된다. 8자 이상의 이름을 가진 파일은 LFN이라는 정보를 entry에 같이 가지고 생성이 된다. 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 Order name 1 Attribute Type checksum name2 name2 first cluster low name 3 Offset길이(byte) 설명 Order0x01 1 LFN은 01 부터 순차적으로 증가 하며 마지막은 0x40 | 0x0n 을 한 값이다. Name1 0x02 9 1~5번째 문자열 Attribute 0x0B 1 0x0F로 고정 (0F.. 더보기 170428 FAT32 1. FAT란 ?USB 메모리 ,SD 카드에 많이 쓰이는 방식으로 파일시스템의 일종이다. File Allocation Table로 불리며 운영체제에 따른 영향을 많이 받지 않고 널리쓰이는 호환성 좋은 파일 시스템중 하나이다. ※ 파일을 실행할때 파일은 어떻게 우리에게 나타날까파일을 실행하면 Directory entry에 있던 파일의 목록에서 위치등을 알아낸 후에 FAT 영역에서 파일의 크기를 알아내고 DATA영역에서 그 크기만큼 할당된 파일을 불러온다고 한다. [구조] Partition장치- 하드 드라이브같은 파티션장치에서는 파티션을 정의하는 MBR이 첫번째 섹터이다. Sector 영역 Cluster 영역 Hidden SectorReserved Sector FAT(File Allocation Table).. 더보기 170427 사고대응과 분석 실습 http://www.woanware.co.uk/forensics/index.html 포렌식 무료 툴 제공 사고대응 휘발성데이터 수집 : 전원이 끊어지면 소실되는 데이터 process , Password, IP address, event log 등 악성코드 관련내용이 포함되어 있을 수 있다.우선순위 고려 , 수집 유의→ RFC3227 : 휘발성 데이터 수집시 우선순위 선별조치 가이드라인 ※ 휘발성 데이터를 수집할 경우 (증거수집) 무결성 훼손에 주의 해야한다.메모리 덤프시 - USB 연결 : Setup APL log 변경( 드라이버인스톨) , event log 남음, redgit 변경 등- 폴더 오픈 : shell back 등 .. 더보기 170426 NTFS 에서 MBR , VBR 복구해보기 가상장치에 로드되는 윈도우 7 파일을 실습대상.현재 이 파일은 어떤 영역이 HASTATI라는 글자로 덮어씌워졋다. 어떤 영역인지 어떻게 복구하는지 알아보자! HxD 로 열어본 win 7VMDK 가보인다. 가상장치의 구조는 하드와는 조금다르다. 처음 시작은 MBR 아닌 VMDK의 헤더이다. MBR을 찾기위해선 VMDK의 헤더를 분석해야 한다. VMDK 에서 MBR의 시작위치는 offset 40 ~ 47에 있다.28 80 이다. (리틀엔디안 방식이기 때문)0x2880 = 10368 이므로 10368 섹터로 이동하자MBR의 영역이 HASTATI. 글자로 덮어 씌워진것을 확인 할 수 있다. HASTATI로 검색을 더 해보니 10496 섹터와 15616 섹터에서 확인 할 수 있었다. 10368 = MBR10496.. 더보기 170426 NTFS - VBR(Volume Boot Record) NTFS 의 구조 Volume Boot Record Master File Table Data Area VBR.bak NTFS의 구조중 VBR에 대해 살펴보자. 포멧된 드라이브의 가장 앞부분에 위치하며 부트 섹터로서 추가적인 부트코드가 저장되어있다.VBR의 위치를 보면 처음과 마지막 섹터에 위치하는데 마지막섹터에 있는 VBR은 백업 본이다.(FTP32의 경우 처음 BR에서 + 6 섹터를 지나면 백어본이 있다.)VBR의 크기VBR의 크기는 클러스터에 따라간다. 고정값을 가지는 FAT방식과는 차이점을 보임. 클러스터(byte) VBR (sector) 섹터가 하나일때 , 그 이상일때 512 1 VBR 자체가 부트섹터 1k 2 추가적인 부트코드 저장, NTLDR의 위치 저장 용도로 사용 2k 4 4k 8 부트섹터.. 더보기 정보보호(Information Secrity) 정보사회의 특성과 역기능 특성 : 정보사회가 도래하고 인터넷을 이용한 정보교환이 가능해짐 → 재택근무 증가, 방문의 필요없이 자금이체 주식매매등 거래 가능역기능 : 개인의 프라이버시 침해 , 해커와 바이러스의 기승, 불법적인 위. 변조를 통한 각종 컴퓨터 범죄행위, 정보시스템의 파괴에 의한 사회마비 등 사이버환경의 특징 비대면성익명성시간 및 공격적 운영의 무제한성무제한적인 정보 및 신속한 전송미래의 범죄 및 전쟁공간 최근 사이버 공격의 특징공격기술의 지능화사이버 공격 전파경로의 다원화초고속화 및 초단기화분산화 및 에이전트화정보보호(Information Security)1) 정의 : 기밀성 , 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 물리적, 관리적 보호대책을 강구하는 것 2) 정보.. 더보기 이전 1 ··· 3 4 5 6 7 8 9 ··· 11 다음
