전체 글244

• 디포전 2급 실기 정리 쓰흡!!... 하... 내일이 시험이라니 이건 말도 안됩니다. 말이됩니까?... 내가 디지털 포렌식 전문가로써, 압수수색과 분석에 필요한 행동 요령을 단계별로 서술해라. 1. 압수,수색 사전 준비 - 수사의 목적이 달성될 수 있도록 영장을 작성하고, 디지털 증거의 압수수색 검증이 가능한 분석관을 대동하여 압수수색을 진행한다. - 영장 작성 시, 범죄 유형별 압수대상을 특정하고 피압수자의 IT지식이나 규모에 따라 팀을 편성하여야 한다. - 팀 편성 후, 회의를 통해 팀 역할을 분배하여야 하며, 집행지 상황에 대한 정보 공유를 충분히 하고 사전 준비를 철저히 해야한다. - 현장에서 사용할 하드웨어/소프트웨어 등 장비에 대한 사전 테스트를 진행하고 현장에서 일어날 가능성이 있는 문제에 대해 미리 대처할수 있도록 준비한다. .. For3nsic/디지털 포렌식 전문가 준비 2019. 6. 28.  0

• 디포전 2급 실기 정리 usb메모리의 무결성이 훼손되지 않도록 증거 사본을 생성하기 위해 해야할 행위들을 시간순으로 작성 - 쓰기방지가 되어 있지 않은 장비 또는 장치에 USB를 연결하게 되며 전자적으로 무결성을 훼손될 우려가 있다. 이러한 문결성을 훼손하지 않기 위해 이미징 수행전에 반듯이 쓰기방지를 해야한다. 쓰기방지를 함에 있어 출동한 수사관이나 현장에 있는 장비에 따라 하드웨어적 쓰기방지 or 소프트웨어적 쓰기방지로 나누어지게 되는데 하드웨어적 쓰기방지 같은경우 장비를 통해 쓰기방지가 가능하기 때문에 장비에 하드디스크를 꽂아 사용하면 된다. 소프트웨어적 쓰기방지 같은 경우 레지스트리(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\Wri.. For3nsic/디지털 포렌식 전문가 준비 2019. 6. 27.  0

• 

  디지털 포렌식 전문가 2급 실기 준비 1 먼저 디지털 포렌식 전문가 2급을 시험치게 되었다... 필기를 합격하고 나니 실기도 쳐야할 것같아서 홈페이지를 들어 가보았는데 ... 참고로 홈페이지는 'http://exam.forensickorea.org' For3nsic/디지털 포렌식 전문가 준비 2019. 6. 27.  0

• 

  음 .... 기술이나 포렌식 내용이나 정보공유 내용은... 29일 토요일에 디포 실기 시험이 있어요 ㅠㅠ 그거 끝나고 후기를 남기면서 기술 정보공유 블로그를 작성 해볼까해요 :) My Story/일상-_- 2019. 6. 26.  0

• 

  늦었지만 대학원 합격!! 제가 사실 대학을 자퇴해서.... 학사를 따는 것에 어려움이 존재했는데 학점은행제 이용해서 학사를 취득했어요 !!! 학위예정을 통해 성균관대학교 대학원 과학수사학과를 지원했는데... 서류와 면접으로 엄청떨렸거든요... 진짜... 성균관대학교 법학관을 갔는데 디지털 포렌식 전문가 2급 필기 볼때 가는거 말고 면접으로 가니깐 와,,,, 다른 면접보다 더 떨리는 느낌? 아닌가???.. 자기소개서 부터 엄청 연습하고 밤새고 이랬는데 추억이 새록새록합니다. 면접이나 이런것 있을 때 음식을 먹으면 체해서 하루동안 안먹고 면접을 봤는데 면접보고 나오니깐... 배가 너무고파서 아는 누나가 사준 김밥을 먹으면서 집으로 향했네요 !! 다시한번 그 누나에게 감사합니다 :0 결과가 나온날!! 원래 17시에 결과발표인데 하루전.. My Story/일상-_- 2019. 6. 26.  29

• 

  오랜만에 블로그와 일상이야기 오랜만에 집에 내려갔다가 올라오는데 동대구역에서 못보던것을 본 "나" 동대구역에 알라딘 중고서점이 생겼어요 :D 기대하는 마음에 들어갔는데 생긴지 얼마안되서 그런지 찾는 책들이나 책이 생각보다 적더라구요...ㅠㅠ 그래도 깨끗하고 좋았어요!! 동대구역에서 기차타러 도착!! 근데!! 아니 .... ㅠㅠ 평창 올림픽때 마스코트인 .... "수호랑 반다비"가... 길바닥에 누워있어요... ㅠㅠ 뭔가 마음이 아픈데 그래도 이제 보내줄때가 되었나봅니다.... 기차타고 다시 평택으로 올라오니 시간이... 하늘도 엄청이쁘던데 사진이없네요 ㅠㅠ 다들 월요일 힘드셨죠? ㅠㅠ 조금만 더힘내시구 화이팅입니다!! 자주 일상과 재밌는 이야기와 여러가지로 찾아올께요!! My Story/일상-_- 2019. 6. 25.  0

• 

  CTF forensic(Recovering From the Snap) 문제 요즘 일이 많아서 CTF(Capture The Flag)에 참여하지 못한지 오래된 듯하다... 그래서 혼자 문제들 뭐있나 보다가 ...forensic(file carving)이라는 문제를 보고 오오오오오오!!!!!!!!!!!이거다!!! 라고 생각해서 풀어보았다.. 문제가 생각보다 쉽게 풀렸고 풀이도 여러가지 방법으로 풀어보았다. 점수는 150점이였는데!!! 문제는 There used to be a bunch of animals here, what did Dr. Xernon do to them? 이거였다.한번 풀어보자 첫번째 방법은 foremost를 이용하여 푸는 방법이다.animals.dd 이미지가 주어진다. file 명령어를 이용하여 file animals.dd를 해보면 DOS/MBR boot sect.. Wargame/CTF(Capture The Flag) 2019. 1. 1.  1

• 

  NetBIOS 정보 오늘은 NetBIOS(Network Basic Input/Output System)에 대해 알아보고 정보를 수집하는 것을 볼텐데... NetBIOS가 뭔지 부터 알아보자.! 위에 적힌 영어 그대로 네트워크 베이직 인풋 아웃풋 시스템이다.즉, 별개의 컴퓨터상에 있는 응용 프로그램들이LAN에서 서로 통신 할 수 있도록 해주는 프로토콜이다. 또한 IBM 에서 개발됐으며 전달할 데이터와 수신지 IP등 다른 것들과 함께 명기하는, 네트워크 제어블로의 형식으로 제공된다. NetBIOS는 Ethernet, Token Ring, Windows 네트워크 등에 주로 사용되며 그 자체만으로는 라우팅 기능을 지원하지 않아 광역 통신망 상에서 통신하는 응용 프로그램들은 반드시 다른 전송 프로토콜을 추가하여 사용해야함 세션과 데.. For3nsic/Forensic 2018. 12. 20.  0

• 

  휘발성 데이터 수집 3탄인데... 언른 마무리 지어야징 언른 마무으리!!! 지어야 할 것같습니다!!! :) 2탄에서 생각보다 많은 것들을 못했습니다. 이유는 SysinternalsSuite 도움이 필요해서 말이죠!!그래서 오늘은 SysinternalsSuite 도움을 좀 받아봅시다.! NetBIOS 는 다음 시간엥 케케케케 ummmmmmmmmmm..................먼저 뭐부터 봐야할까요? 먼저 핸들 정보부터 알아봅시다!!핸들이란 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 값이다.그럼 핸들은 하나만 있을까? 아니다. 한프로세스 당 핸들은 여러개가 있는데 실제로 가리키고 있는 오브젝트는 레지스트리에 기본적으로 기록되어있다.프로세스 생성시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값, 파일,포트 등을 포함하고 있다.h.. For3nsic/Forensic 2018. 12. 18.  0

• 

  휘발성 데이터 수집 2탄이옵시다. 2탄이옵시다.!!! 1탄을 쓰고 2탄을 바로 포스팅을 할려고 했는데 ... 출장과 일이 좀많아서 이제 씁니다... 바로 본론으로 들어가 봅시다.! 1탄에서 네트워크 정보수집까지 적은 것으로 기억을 하는데 맞습니까?(혼자 북치고 장구치기) 네~~~~~~~~~~~~ 다음을 계속 이어 적어 봅시다.!!!프로세스 목록을 수집해볼것이다.보는 것과 같이 mac에서는 'ps -ef' 라는 명령어를 주게 되면 프로세스 목록을 수집할 수 있게 된다. 옵션의 ef에서 'f'는 full format listing의 약자이며 'e'는 every의 약자로 현재 실행중인 모든 프로세스를 출력하라는 의미이다.windows에서는 tasklist를 하게 되면 보는 것처럼 pid와 세션이름 등을 나타내준다.옵션을 알고 싶다면 taskl.. For3nsic/Forensic 2018. 12. 10.  0

• 

  휘발성 데이터 수집 하기 어제 쓴글을 확인해보면 http://blog.z3alous.xyz/226 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다. - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다. 첫번째 내용이 시스템에 영향이 최대한 안가게 작업한다.두번째는 로카르의 교환법칙쉽게말해 무작정 하지말고 조심스럽게 생각해서 수집하라는 말이다. 케케케케케케케케생각해서라 ... 그럼 다시한번 이사진이 필요하다고 생각한다. For3nsic/Forensic 2018. 12. 3.  0

• 

  휘발성 데이터 수집, 라이브 리스폰스 요즘 뭔가 블로그를 적어야 할 것만 같은 기분이 든다... 저번에는 사고대응 등에 대해 포스팅을 했다. 오늘은 휘발성 데이터 수집에 관련하여 내용을 적어볼 것이다.휘발성 데이터는 말그대로 날아가는 데이터이다. 즉, 쉽게 말해 하드디스크에 저장되는 데이터 말고 메모리에 올라가 있거나 컴퓨터를 종료하면 없어지는 데이터들을 말하는 것이다.휘발성 데이터 같은 경우에는 앞에서 말한 것처럼 컴퓨터를 종료하게 되면 사라지기 때문에 컴퓨터를 종료하지 않은 상태(실행되고 있는 상태)에서 진행을 한다.(경우에 따라 다름) - 라이브 리스폰스(live response) 그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까? - 시간, 날짜 정보 - 네트워크 정보 - 사용자 정보 - 프로세스 정보 - 핸들 목록 - 서비스.. For3nsic/Forensic 2018. 12. 1.  0

• 

  디지털 포렌식의 사고대응 및 증거처리 짜쟌~!! 디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.1. 준비 - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다. - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.2. 탐지 - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들 중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.3. 분석 - 이 때부터 본격적으로.. For3nsic/Forensic 2018. 11. 29.  0

• 

  hackover CTF I AM MANY write up :) 두두두둥 오랜만에 작성하는 Write UP !!! 호호호호호호우 먼저 문제 파일을 받아보면 !!! 이사진이다. 흠... 흐으므므므믐흐읗으흥흥흐읗읗ㅇ흐읗으ㅡㅇ 자 먼저 그냥 binwalk로 확인을 해보자!!! PNG가 2개가 있는 것이 확인되었다.그럼 각나왔다. 바로 010 editor로 간다. 이러한 값들이 나오는 것을 확인할 수 있다.png 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A 이며 IEND는 PNG의 마지막을 나타내는 것이다.그럼 찾아보자 PNG가 두개가 있는 것을 확인할 수 있다. 이렇게 말이다. 그럼 여기에 있는 PNG를 두개를 따로 저장을 하게 되면 이렇게 나오는 것을 확인할 수 있다.!!! 흐흐흐흐흐흐흫 다음엔 다른문제로 나타나겠습니다.!!!! 넝~~~!!!~~~담~~~~~ Wargame/CTF(Capture The Flag) 2018. 10. 9.  0

• 

  고정 소수점 오랜만에 포스팅을 합니다. 군인인지라 Security Study/Base Of Computer 2018. 9. 26.  2

• 

  홀리쉴드 2016? forensic memory :) 어쩌다 보니 찾게 된문제!!! 풀어보자 !! 근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server 이렇게 란다.시작하자 !! 크와아아앙 나와라 ! volatility!!!! 먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후 pslist명령어를 통해 프로세스 리스트를 확인 해보았다. 보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.바로 구글로 달려.. Wargame/CTF(Capture The Flag) 2017. 1. 11.  2

• 

  어디 문제인지 까묵은 문제... 일단 파일있어 풀어본당... 이파일이다.스테가노그래피 문제 같다. 그래서 이번에 사용할 툴은 stegosolve 라는 것이다.구글에 stegosolve를 검색하면 다운받을 수있는 곳이 나온다. 실행을 하면 이러한 창이 나온다! stegosolve를 실행 시키려면 java가 꼭필요하다. 이제 file - open 해보자이렇게 열고 나서 화살표를 눌러보오자!! :) 계속누르다 보면 글자가 보인다.위 사진은 blue plane 5 지만 Gray Bit 까지 넘기면요로코롬 :) 짠!! Wargame/CTF(Capture The Flag) 2017. 1. 11.  0

• 

  메모리 포렌식에서 volatility 를 사용하면서 ... :) 메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다. 의문이라기 보단 잘 보지 않아 생긴 문제이지만 ... 먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........ 두둥 !!! BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.그래서 명령어를 통해서 알아 봤다. 어떻게? dlllist | grep xpsp2 For3nsic/The Art of Memory Forensic 2017. 1. 10.  0

• 

  Brutal – Toolkit to quickly create various payloads,powershell and virus attacks Brutal – Toolkit to quickly create various payloads,powershell and virus attacksBrutal - 빠르고 다양한 payloads, 파워셸과 바이러스 공격을 위한 툴킷 https://github.com/screetsec/brutal Metasploit 2016. 12. 28.  0

• 

  해킹하는 척 하기!!! 매일 공부이야기 말고 오늘은 남들앞에서 조금 있어 보이고 장난치는 해킹하는 척 하기를 해봅시다.!!! :) 먼저 http://www.hackertyper.com 을 접속해줍니다.이러한 화면이 뜨는 것을 알수 있다. 여기서 f11을 누르면 전체화면으로 바뀐다. :) 그리고 아무키나 막누르면 이렇게 글씨가 써지는 것을 볼수 있다. My Story 2016. 12. 28.  18