반응형 정보보안/Forensic15 [Forensic] 하드디스크 MBR 구조 1. MBR(Master Boot Record) 부팅 시 필요한 부트 코드와 파티션 테이블 정보를 저장하고 있으며, MBR이 손상되면 부팅이 불가능하다. MBR은 하드디스크의 첫 번째 섹터(Sector 0)에 위치하고 있고 512Byte로 구성이 되어 있으며 구성 내용은 다음과 같다. 공통 (512 Byte)(Boot Code(446 Byte)(Code area 440 Byte + Disk Signature 4Byte + Usually nulls 2Byte) + Patition Table(64 Byte)) + Signatrue(2 Byte) 0x0 - 0x1B7 MBR code area (440Byte) 0x1B8 - 0x1BB 32-bit disk signature ( optional 4Byte) 0x.. 2021. 12. 29. [Forensic] 스테가노그래피 분석 도구 1. 이미지 파일 분석 도구 1) Stegsolve.jar 2) https://29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 3) SmartDeblur 4) http://www.bertnase.de/npiet/npiet-execute.php BertNase's Own - npiet fun! www.bertnase.de .. 2021. 12. 21. [Forensic] Volatility3을 이용한 메모리 포렌식 Volatility2는 덤프 파일의 프로파일 설정 등 까다로운 부분이 많고, 현재 Volatility3에서 많은 명령어를 지원하기 때문에 3버전을 사용하여 분석하는데 문제가 없다고 생각한다. 하지만, 아직 2버전에 비해 지원하는 명령어가 부족한 부분이 있기 때문에, 추가 분석이 필요하다면 2버전을 사용해야 한다. Volatility3를 사용하기 위해 파이썬 3버전의 설치가 필요하다. □ Volatility3 다운로드 경로 https://github.com/volatilityfoundation/volatility3 GitHub - volatilityfoundation/volatility3: Volatility 3.0 development Volatility 3.0 development. Contribute.. 2021. 12. 18. [Forensic] Linux 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 수집 1) 시스템 날짜 정보 확인 - date + 서식 (date YYYY-MM-DD) 2) 리눅스 종류 및 버전 확인 - uname -a 3) 마지막 접속/로그인 사용자, 시스템 재부팅 시간 확인 - last, w - last reboot 4) Run-Level 서비스 확인 - chkconfig | grep service 5) rm 명령어로 삭제한 파일 복구(일부 가능) - debugfs device - debugfs: isdel 6) 사용자 정보 - /etc/passwd - /etc/shadow - /etc/group □ 파일 및 백도어 검색 1) setgid, setuid 파일 검색 - find / -type f -perm +6000 -ls 2) 실행 권한이 있는 user 생성 파일.. 2021. 12. 18. [Forensic] Windows 침해사고 조사 및 아티팩트 수집 □ 시스템 정보 1) 현재 날짜 및 시간 정보 확인 - data /t && time /t 2) 시스템 정보 확인 - systeminfo 3) 시스템에 접속 중인 사용자 및 세션 정보 - query user - net session 4) 시스템에 등록된 사용자 계정 - net user - 레지스트리 내 SID / SAM 확인 5) 시스템에 마지막으로 로그인한 사용자 정보 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DefaultUserName - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Control\Windows\ShutdownTime □ 파일 및 레지스트리 정보 1) 최근 생성된 파일,.. 2021. 12. 18. [Forensic] 삭제된 파일 복구 프로그램 리커바(Recuva) 리커바(Recuva)는 지원되는 파일 시스템을 사용하여 하드 디스크 드라이브, USB 플래시 드라이브, 메모리 카드, 포터블 미디어 플레이어 또는 모든 랜덤 액세스 저장 매체에서 삭제된 파일을 복구할 수 있습니다. 네이버 소프트웨어의 파일 복구 프로그램 카테고리에서 상위권을 차지했었던 것으로 기억하는데 네이버 소프트웨어가 서비스 종료 예정으로, 공식 사이트에서 다운 받을 수 있도록 아래에 링크를 추가 했습니다. https://www.ccleaner.com/recuva Download Recuva | Recover deleted files, free! Recuva® Recover your deleted files quickly and easily. Accidentally deleted an importan.. 2021. 7. 13. [Forensic] 삭제된 파일 복구 프로그램 디스크 드릴(Disk Drill) 삭제된 파일이나 포맷된 데이터를 복구할 수 있는 소프트웨어를 소개하고자 합니다. SSD, 안드로이드, iOS, SD 카드 등 대부분의 파일 시스템을 지원하며 무료 버전의 경우 최대 500MB까지 복구를 지원합니다. 디스크 드릴은 아래 사이트에서 다운 받을 수 있습니다. https://www.cleverfiles.com/data-recovery-software.html Disk Drill Data Recovery Software | Free Download | CleverFiles Disk Drill is the best data recovery software for Windows. Recover deleted files on any storage device, multiple data recovery .. 2021. 7. 11. [Forensic] Linux 파일 시스템(Ext) 개요 Linux 파일 시스템 리눅스 운영체제는 Ext(Extended File System), Ext2, Ext3, Ext4 또는 라이저 파일 시스템을 사용한다. 유닉스는 유닉스 파일 시스템(UFS)를 사용한다. 각 파일 시스템은 약간 다른 방식으로 데이터 매핑과 데이터 저장소의 문제에 접근한다. 그러나 전체적인 처리 과정과 이론은 리눅스 와 유닉스 시스템이 서로 유사하다. Ext 리눅스 초기에 사용되던 파일시스템이며 호환성이 없다. Ext2 호환성, 안정성, 속도가 좋아 리눅스 파일시스템의 대부분을 제공한다. Ext3 스토리지에 데이터를 저장하기 전에 Journal 영역에 데이터 변경 이력을 저장하는 저널링(Journaling)을 지원하며 현재 리눅스에서 가장 많이 사용된다. Ext4 파일 접근 속도가 향상.. 2021. 7. 6. [Forensic] 모바일(안드로이드) 아키텍처 및 APK 파일 구조 □ 안드로이드 아키텍처 1. 리눅스 커널 리눅스 커널은 하드웨어와 OS를 연결해 주며 프로세서의 보안을 담당하고 프로세스의 스케줄링, 추상화, 하드웨어 드라이브 및 전력 관리를 담당한다. 2. HAL(Hardware Abstraction Layer) 운영체제와의 호환성을 해결하고 일관성 있는 인터페이스를 제공하기 위한 형태로, 여러 모듈 형태로 구성되어 있고 카메라, 블루투스 같은 하드웨어 구성요소의 인터페이스를 구현한다. 3. Libraries 안드로이드 시스템 구성요소와 서비스들은 Native C/C++로 구현된 라이브러리들이 있는데 3차원 그래픽의 OPEN GL, 로컬 데티어베이스를 제공하는 SQLite, 웹 브라우징을 위한 WebKit, 멀티미디어 재생을 위한 Media Framework 등이 제.. 2021. 6. 30. 이전 1 2 다음 반응형
