반응형 정보보안23 [Forensic] 하드디스크 MBR 구조 1. MBR(Master Boot Record) 부팅 시 필요한 부트 코드와 파티션 테이블 정보를 저장하고 있으며, MBR이 손상되면 부팅이 불가능하다. MBR은 하드디스크의 첫 번째 섹터(Sector 0)에 위치하고 있고 512Byte로 구성이 되어 있으며 구성 내용은 다음과 같다. 공통 (512 Byte)(Boot Code(446 Byte)(Code area 440 Byte + Disk Signature 4Byte + Usually nulls 2Byte) + Patition Table(64 Byte)) + Signatrue(2 Byte) 0x0 - 0x1B7 MBR code area (440Byte) 0x1B8 - 0x1BB 32-bit disk signature ( optional 4Byte) 0x.. 2021. 12. 29. [Forensic] 스테가노그래피 분석 도구 1. 이미지 파일 분석 도구 1) Stegsolve.jar 2) https://29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 3) SmartDeblur 4) http://www.bertnase.de/npiet/npiet-execute.php BertNase's Own - npiet fun! www.bertnase.de .. 2021. 12. 21. [Security] 유용한 사이트 모음 아래 사이트에서 악성코드의 샘플 다운로드 및 분석 사례를 제공한다. https://bazaar.abuse.ch/browse/ MalwareBazaar | Browse malware samples bazaar.abuse.ch https://malpedia.caad.fkie.fraunhofer.de/library Malpedia Library malpedia.caad.fkie.fraunhofer.de https://www.vx-underground.org/samples.html vx-underground - samples Want to sponsor vx-underground? Your information could go here www.vx-underground.org https://www.malware.. 2021. 12. 20. [Forensic] Volatility3을 이용한 메모리 포렌식 Volatility2는 덤프 파일의 프로파일 설정 등 까다로운 부분이 많고, 현재 Volatility3에서 많은 명령어를 지원하기 때문에 3버전을 사용하여 분석하는데 문제가 없다고 생각한다. 하지만, 아직 2버전에 비해 지원하는 명령어가 부족한 부분이 있기 때문에, 추가 분석이 필요하다면 2버전을 사용해야 한다. Volatility3를 사용하기 위해 파이썬 3버전의 설치가 필요하다. □ Volatility3 다운로드 경로 https://github.com/volatilityfoundation/volatility3 GitHub - volatilityfoundation/volatility3: Volatility 3.0 development Volatility 3.0 development. Contribute.. 2021. 12. 18. [Forensic] Linux 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 수집 1) 시스템 날짜 정보 확인 - date + 서식 (date YYYY-MM-DD) 2) 리눅스 종류 및 버전 확인 - uname -a 3) 마지막 접속/로그인 사용자, 시스템 재부팅 시간 확인 - last, w - last reboot 4) Run-Level 서비스 확인 - chkconfig | grep service 5) rm 명령어로 삭제한 파일 복구(일부 가능) - debugfs device - debugfs: isdel 6) 사용자 정보 - /etc/passwd - /etc/shadow - /etc/group □ 파일 및 백도어 검색 1) setgid, setuid 파일 검색 - find / -type f -perm +6000 -ls 2) 실행 권한이 있는 user 생성 파일.. 2021. 12. 18. [Forensic] Windows 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 1) 현재 날짜 및 시간 정보 확인 - data /t && time /t 2) 시스템 정보 확인 - systeminfo 3) 시스템에 접속 중인 사용자 및 세션 정보 - query user - net session 4) 시스템에 등록된 사용자 계정 - net user - 레지스트리 내 SID / SAM 확인 5) 시스템에 마지막으로 로그인한 사용자 정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DefaultUserName - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Control\Windows\ShutdownTime □ 파일 및 레지스트리 정보 1) 최근 생성된 파일,.. 2021. 12. 18. [Malware] 악성코드 개요 및 기본 정적분석 1. 악성코드란 ? 악성코드는 악의 적인 행위를 하는 실행파일 또는 바이너리 파일을 의미합니다. 해커에 의해 사용되는 악성코드는 주로 데이터 수집 및 유출, 암호화, 삭제 등 다양한 비윤리적인 행위를 합니다. 악성코드는 행위 및 목적을 기반으로 트로이목마(Trojans), 원격제어(RAT's), 드롭퍼(Dropper), 랜섬웨어(Ransomware)로 분류할 수 있습니다. .Trojans : 사람의 심리를 악용하여 정상 프로그램으로 위장해 배포되며 감염된 PC의 데이터 유출 및 파괴, 스파이 활동을 합니다. .RAT's : 공격자가 원격에서 접근할 수 있도록 허용하고 여러 시스템 명령어를 실행합니다. 키로거와 같은 모듈을 사용해 민감정보 등을 탈취할 수 있습니다. .Dropper : 백신의 탐지를 우회하.. 2021. 7. 28. [Forensic] 삭제된 파일 복구 프로그램 리커바(Recuva) 리커바(Recuva)는 지원되는 파일 시스템을 사용하여 하드 디스크 드라이브, USB 플래시 드라이브, 메모리 카드, 포터블 미디어 플레이어 또는 모든 랜덤 액세스 저장 매체에서 삭제된 파일을 복구할 수 있습니다. 네이버 소프트웨어의 파일 복구 프로그램 카테고리에서 상위권을 차지했었던 것으로 기억하는데 네이버 소프트웨어가 서비스 종료 예정으로, 공식 사이트에서 다운 받을 수 있도록 아래에 링크를 추가 했습니다. https://www.ccleaner.com/recuva Download Recuva | Recover deleted files, free! Recuva® Recover your deleted files quickly and easily. Accidentally deleted an importan.. 2021. 7. 13. [Forensic] 삭제된 파일 복구 프로그램 디스크 드릴(Disk Drill) 삭제된 파일이나 포맷된 데이터를 복구할 수 있는 소프트웨어를 소개하고자 합니다. SSD, 안드로이드, iOS, SD 카드 등 대부분의 파일 시스템을 지원하며 무료 버전의 경우 최대 500MB까지 복구를 지원합니다. 디스크 드릴은 아래 사이트에서 다운 받을 수 있습니다. https://www.cleverfiles.com/data-recovery-software.html Disk Drill Data Recovery Software | Free Download | CleverFiles Disk Drill is the best data recovery software for Windows. Recover deleted files on any storage device, multiple data recovery .. 2021. 7. 11. 이전 1 2 3 다음 반응형
