For3nsic/Forensic 36

• GPT(GUID Partition Table)에서의 MFT는 과연? 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 내용 최근에 이것저것 하다가 한가지 의문점이 생겼다. 자동화를 만들고 있는데 NTFS파일 시스템의 경우 MFT(master file table)을 손쉽게 수집을 할수있었다. 그런데 어느 시스템에서는 잘되는데 어느 시스템에서는 수집이 잘안되어서 궁금증이 생겼었다. 그래서 이것저것 찾다가 GPT(GUID Partition Table)의 경우 수집이 잘안되는 것같았다. 원인이 과연 이것일까 생각하면서 확인을 해.. For3nsic/Forensic 2023. 3. 24.

• 

  GPT(GUID PAartition Table)? 흔히 하드디스크, SSD에서 부팅의 개념을 보게 되면 MBR(Mastser Boot Record)를 생각하게 된다. 나 또한 그렇게 생각을 했다. 문뜩 뜬금없이 생각이 났다. 내가 쓰는 컴퓨터의 MBR을 한번 봐야지!! 라고 생각을 하고 Hxd를 켜서 확인을 해보았다!! 엥? 근데 ㄷㄷ 뭔가 Partition부분이 음? 이란 생각이 들어서 확인을 해봤다. MBR이 아닌 GPT 형식이였다. 그래서 GPT 구조를 이렇게 작성해본다. 먼저 왜 멀쩡히 잘쓰고 있는 MBR을 두고 GPT를 사용하는지 알아보자! MBR(Master Boot Record) - 최대 4개의 Partition을 지원한다. - 2TB이상의 하드디스크에서 OS 부팅 및 최신 하드웨어 지원에 한계가 발생했다. GPT(GUID Partition.. For3nsic/Forensic 2020. 12. 20.

• 

  EnCE 자격증 신청!!! 와... 디지털 포렌식전문가 2급 시험치고 멘붕이 오고난 후 EnCE 자격증을 볼려고 신청을 했는데 주위 사람 몇명에게 물어보니 제x코라는 학원?기업? 을 통해 많이 한다는 소리를 들었다. 그래서 처음엔 음 ... 통해서 볼까? 라는 생각을 했는데 금액차이가 나서 그냥 혼자 도저언!!!! 일단 EnCE 홈페이지 들어가서 양식을 다운받고 보는데 디포관련 업무나 수업들었는지 이러한 내용을 쓰는 곳이 있다. 그래서 하나하나 적어내려가는데 난 사실 3번 빠꾸먹었다... ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 4번째 됫는데 1번째는 교육받은것을 적고 수료증을 스캔하여 첨부파일과 함께 신청하면 메일로 이러한 내용의 메일이 온다. 그냥 해석해보면 "신청해줘서고맙고 뭐 신청이 접수됬다. 순서대로 검토하고 연락주겠다~~~" 이런내용이다.. For3nsic/Forensic 2019. 7. 7.

• 

  NetBIOS 정보 오늘은 NetBIOS(Network Basic Input/Output System)에 대해 알아보고 정보를 수집하는 것을 볼텐데... NetBIOS가 뭔지 부터 알아보자.! 위에 적힌 영어 그대로 네트워크 베이직 인풋 아웃풋 시스템이다.즉, 별개의 컴퓨터상에 있는 응용 프로그램들이LAN에서 서로 통신 할 수 있도록 해주는 프로토콜이다. 또한 IBM 에서 개발됐으며 전달할 데이터와 수신지 IP등 다른 것들과 함께 명기하는, 네트워크 제어블로의 형식으로 제공된다. NetBIOS는 Ethernet, Token Ring, Windows 네트워크 등에 주로 사용되며 그 자체만으로는 라우팅 기능을 지원하지 않아 광역 통신망 상에서 통신하는 응용 프로그램들은 반드시 다른 전송 프로토콜을 추가하여 사용해야함 세션과 데.. For3nsic/Forensic 2018. 12. 20.

• 

  휘발성 데이터 수집 3탄인데... 언른 마무리 지어야징 언른 마무으리!!! 지어야 할 것같습니다!!! :) 2탄에서 생각보다 많은 것들을 못했습니다. 이유는 SysinternalsSuite 도움이 필요해서 말이죠!!그래서 오늘은 SysinternalsSuite 도움을 좀 받아봅시다.! NetBIOS 는 다음 시간엥 케케케케 ummmmmmmmmmm..................먼저 뭐부터 봐야할까요? 먼저 핸들 정보부터 알아봅시다!!핸들이란 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 값이다.그럼 핸들은 하나만 있을까? 아니다. 한프로세스 당 핸들은 여러개가 있는데 실제로 가리키고 있는 오브젝트는 레지스트리에 기본적으로 기록되어있다.프로세스 생성시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값, 파일,포트 등을 포함하고 있다.h.. For3nsic/Forensic 2018. 12. 18.

• 

  휘발성 데이터 수집 2탄이옵시다. 2탄이옵시다.!!! 1탄을 쓰고 2탄을 바로 포스팅을 할려고 했는데 ... 출장과 일이 좀많아서 이제 씁니다... 바로 본론으로 들어가 봅시다.! 1탄에서 네트워크 정보수집까지 적은 것으로 기억을 하는데 맞습니까?(혼자 북치고 장구치기) 네~~~~~~~~~~~~ 다음을 계속 이어 적어 봅시다.!!!프로세스 목록을 수집해볼것이다.보는 것과 같이 mac에서는 'ps -ef' 라는 명령어를 주게 되면 프로세스 목록을 수집할 수 있게 된다. 옵션의 ef에서 'f'는 full format listing의 약자이며 'e'는 every의 약자로 현재 실행중인 모든 프로세스를 출력하라는 의미이다.windows에서는 tasklist를 하게 되면 보는 것처럼 pid와 세션이름 등을 나타내준다.옵션을 알고 싶다면 taskl.. For3nsic/Forensic 2018. 12. 10.

• 

  휘발성 데이터 수집 하기 어제 쓴글을 확인해보면 http://blog.z3alous.xyz/226 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다. - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다. 첫번째 내용이 시스템에 영향이 최대한 안가게 작업한다.두번째는 로카르의 교환법칙쉽게말해 무작정 하지말고 조심스럽게 생각해서 수집하라는 말이다. 케케케케케케케케생각해서라 ... 그럼 다시한번 이사진이 필요하다고 생각한다. For3nsic/Forensic 2018. 12. 3.

• 

  휘발성 데이터 수집, 라이브 리스폰스 요즘 뭔가 블로그를 적어야 할 것만 같은 기분이 든다... 저번에는 사고대응 등에 대해 포스팅을 했다. 오늘은 휘발성 데이터 수집에 관련하여 내용을 적어볼 것이다.휘발성 데이터는 말그대로 날아가는 데이터이다. 즉, 쉽게 말해 하드디스크에 저장되는 데이터 말고 메모리에 올라가 있거나 컴퓨터를 종료하면 없어지는 데이터들을 말하는 것이다.휘발성 데이터 같은 경우에는 앞에서 말한 것처럼 컴퓨터를 종료하게 되면 사라지기 때문에 컴퓨터를 종료하지 않은 상태(실행되고 있는 상태)에서 진행을 한다.(경우에 따라 다름) - 라이브 리스폰스(live response) 그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까? - 시간, 날짜 정보 - 네트워크 정보 - 사용자 정보 - 프로세스 정보 - 핸들 목록 - 서비스.. For3nsic/Forensic 2018. 12. 1.

• 

  디지털 포렌식의 사고대응 및 증거처리 짜쟌~!! 디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.1. 준비 - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다. - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.2. 탐지 - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들 중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.3. 분석 - 이 때부터 본격적으로.. For3nsic/Forensic 2018. 11. 29.

• 디스크 / 파일시스템 - 디스크 비교적 단순한 구조를 가지고 있다. 그러나 만약 외부 업체에 의뢰를 한다면 정보 유출이 되므로 주의 해야하는 단점이 있다.디스크를 분석 할때는 증거 저장용 디스크를 Master로 설정하여 분석 대상 디스크를 slave로 지정하여 부팅을 master로 한다.이유는 증거용 디스크에 영향을 주지 않기 위해서 이다. 디스크 분석 - 반드시 원본을 복제한 복사본을 가지고 분석을 한다. - 읽기 전용으로 설정한 후 분석한다. - 복제 디스크는 원본 디스크랑 용량을 같게한다. (같은게 없다면 크게) 디스크 복제 - H/W 적인 방법 : 장비를 이용, 사용이 간편하고 속도가 빠르지만 가격이 비싸다. 또한 라이브 시스템에서 수행이 불가능하다. - S/W 적인 방법 : 라이브 한 시스템에서 그대로 디스크 복사 .. For3nsic/Forensic 2015. 12. 22.

• 

  Forensic TimeLine 타임라인이 무엇일까? 타임라인은 사전의미로는 연대표, 시각표 이러한 의미를 들고있다.또는 비디오 클립이나 오디오 클립을 순서대로 배치하는 편집 프로그램 작업 공간. 타임라인은 레이어와 프레임으로 구성되어 있는데, 레이어의 결합을 통해 화면의 이미지나 오디오를 배치함으로써 움직이는 애니메이션이나 음악을 만드는 기능이다.- 네이버 용어사전 - 그러나 사전을 생각하지 말고 있더라도 주위에 음악을 하는 사람이나 비슷한 일을 하는 사람들을 보면 타임라인이라는 단어를 많이 사용한다.이처럼 컴퓨터를 분석할때 또한 타임라인이 사용되는데 어떠한 동작을 했는지 시간을 남겨준다. 차이가 있을 수 있지만 이러한 의미를 가진다. 이러한 기능을 어디서 할수 있을까?타임라인 기능은 인케이스에 있는 기능이라고 안다. 인케이스 7.x.. For3nsic/Forensic 2015. 12. 14.

• USB 자체가 아닌 운영체제 단에서 저장장치에서 쓰기 방지하기 제목 그자체로 저장장치에서가 아닌 운영체제 단에서 저장장치에서 쓰기 방지하는 방법이다.어떻게 보면 좋고 어떻게 보면 음.... - Key : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies- Value : WriteProtect- Data : 0x00000001 (쓰기 방지 설정), 0x00000000 (쓰기 방지 해제) For3nsic/Forensic 2015. 11. 23.

• 

  USB forensic 최근들어 이동식 디스크 즉, USB의 사용이 많아지고 있다. 또한 앞으로도 늘어날 것 같은? 느낌이 들고 이를 악성코드 유포 또는 자료 유포 등으로 많이 이용 되고 있다. 과연 usb는 어떻게 인식이 되고 어떻게 사용될까? 먼저 usb를 꽂았을 때 Bus Driver라는 곳에서 PnP Manager에게 제조사와 device의 일련 번호를 보내어 연결이 되었음을 알린다.그 후 커널모드 PnP Manager는 레지스트리를 기반으로 드라이버가 설치되어있는지를 확인한다.만약 설치가 되어 있지 않다면 커널모드 PnP Manager는 유저모드 PnP Manager에게 드라이버의 관련 상항을 전달 한다. 설치가 되어 있다면 드라이버를 로드한다.위의 과정을 마치면 레지스트리에 기록을하고 설치과정을 SetupAPI 로그.. For3nsic/Forensic 2015. 11. 23.

• 

  lsof 명령어 프로세스 정보를 확인하기 위한 명령어는 lsof라는 명령어가 있다. lsof라는 명령어는 LiSt Open Files의 약자로 이름 그대로 수행하는 프로그 램이다. 좀 더 구체적으로, 현재 System에서 돌아가는 모든 Process에 의해서 Open된 파일들에 대한 정보를 보여준다.사용법은1. 어떤 특정한 파일을 사용하고 있는 프로세스들에 대한 정보를 알고 싶을 때,lsof 2. 어떤 파일 시스템 내에, 그렇게 큰 크기의 파일들을 찾을 수 없는데도 불구하고, Available Space가 0을 향해서 치닫고 있을 수도 있다. lsof 3. 긴급히 어떤 파일 시스템을 unmount해야 할 때, lsof는 파일 시스템 내에 있는 파일들에 대해서 억세스하고 있는 프로세스들을 다 찾아줄 수 있다.lsof 4... For3nsic/Forensic 2015. 11. 20.

• 

  FTK Imager 알아보기 2 FTK Imager에서 메모리 캡쳐 하기 FTK Imager기능 중에서 메모리 캡쳐기능이있다.먼저 메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다. 경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다. 이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다. 윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다. 메뉴바에서 표시된 것을 클릭하면 이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.선택항목은 암호를 복구할 것인지 전체 레.. For3nsic/Forensic 2015. 11. 17.

• 

  FTK Imager알아보기 1 FTK를 이용하여 증거물 추가와 미리보기 기능을 알아보자메뉴바에서 File -> Add Evidence Item을 클릭하면 이러한 창이 나온다.그후 다음을 클릭하면 이러한 창이나오는 이창은 하드 디스크를 지정하는 창이다. USB같은 것이 연결 되어있을 경우 지정 가능하다. FINISH를 누르면 나오는 창이다. 그리고 옆에 보면 Evidence Tree 창에 증거물이 출력된다. 다음은 포렌식을 하기위한 이미지 생성을 알아보자! 이는 메뉴바에 보면 디스크 모양이 있는 것을 확인할수 있다. 디스크 모양을 클릭하여 이미지를 만들수있다. 클릭을 하면 이러한 창이 뜨는 것을 확인 할수있는데 Raw, SMART, E01, AFF가 이미지 타입으로 FTK에서 지원한다. 타입을 선택하고 다음을 누르게 되면 이러한 창을 .. For3nsic/Forensic 2015. 11. 17.

• 데이터 저장 매체 포렌식에서 중요한 증거를 수집할려면 증거가 어디에 저장되어 있고 저장될 수 있는 곳을 생각해야 한다. 데이터 저장 매체를 보면 하드디스크를 제외한 많은 곳에 데이터를 저장할수 있다.- 자기 미디어 - 플로피 디스크 - 하드 드라이브 - USB/PC카드 - ZIP이나 테이프 드라이브- 광학 미디어 - CD - DVD- 대체 미디어 - MP3 플레이어 - 태블릿 - 스마트 폰 - 비디오 게임, TV 등 For3nsic/Forensic 2015. 11. 17.

• 

  Chrome Forensic 이번엔 포렌식 중에 웹을 이용한 포렌식을 볼껀데...툴이름은 Chromeforensic이라는 툴입니다.실행을 시키면 이러한 GUI환경이 나오는 걸 볼수있습니다. 웹캐시 등을 받아올 폴더를 지정해야하는데 기본적으로 크롬 같은경우에는 아래의 절대경로를 이용합니다. C:\Users\사용자\AppData\Local\Google\Chrome\User Data\Default여기서 확인을 하면 이렇게 이미지도 띄어주는 것을 볼수있다. 이뿐만아니라 키워드 등을 검색하여 보기 편하게 쉽게 나온다.포렌식 중에서 웹 또한 매우 중요하다.이러한 툴을 알고 있으면 좋을 듯하다. For3nsic/Forensic 2015. 11. 16.

• 포렌식 기초 포렌식 증거처리 절차전에 앞에서 말한 바가 있다. 만약 포렌식을 한다고 말하고 다니는데 증거처리 절차 모르거나 한다면... 부끄럽다그래서 한번 더 강조한다. 왜냐? 중요하니깐.사전 준비 단계 -> 증거 수집 단계 -> 증거 이송 단계 -> 증거 분석 단계 -> 정밀 검토 단계 -> 결과 문서화 단계 이러한 순으로 된다!!! 사전 준비 단계증거 수집 단계증거 이송 단계*증거 분석 단계증거물 복제할 때에는 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 해야 한다.또한 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야한다. *무결성* 매우중요한거다. 증거에 번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.증거물복제는 원본의 장치와 동일한 것에서 이루어지는 것이 .. For3nsic/Forensic 2015. 11. 11.

• 디지털 포렌식이란? 디지털 포렌식이란 무엇일까? 포렌식 -> 법의학컴퓨터 미디어에 전자적으로 저장된 데이터를 취득,보존,복구,제출하는 것과 관련된 방법론이다.또한 경찰과 검찰이 쓰는 수사 기법중 하나이다.즉, 디지털 기기에서 많은 정보를 찾거나 복구하는 일이다. 다만 중요한점은 포렌식이 법의학처럼 법정에서 사용될수 있다는 것이다. 포렌식의 종류에는 여러가지가 존재한다.컴퓨터 포렌식, 모바일 포렌식, 임베디드 포렌식, 네트워크 포렌식 등등 포렌식 적용 분야1 - 사이버 범죄 및 지능 범죄2 - 일반 및 강력 범죄3 - 인터넷 침해사고 조사4 - 사용자의 부정이나 범죄 행위에 대한 조사 For3nsic/Forensic 2015. 11. 10.

• 

  파티셔닝과 디스크레이아웃 등 파티셔닝과 디스크 레이아웃 오늘날 가장 많이 사용하는 두 가지 주요 파티셔닝 방식은 MBR(Master Boot Record) 방식과 GUID Partition Table(GPT)이다. MBR 파티셔닝 기법은 기본적으로 오직 네 개의 프라이머리 파티션과 최대 2테라바이트 크기의 디스크만 지원한다. GPT 형식은 8 제타바이트 크기의 디스크까지 지원하며 128개의 프라이머리 파티션을 만들수 있다. 파티션 식별 및 복구삭제되거나 사라진 파티션을 식별할 때는 앞에서 언급한 sigfind 명령을 사용할 수 있다. 이 도구는 파티션 테이블이나 파일 시스템 헤더의 숨길 수 없는 흔적을 찾아주는 사전 정의된 여러 데이터 구조 템플레이트를 가지고 있다. RAIDRedundant Array of Inexpensive D.. For3nsic/Forensic 2015. 11. 10.

• 포렌식을 더깊게... 포렌식 분석의 목적 - 진실을 찾고 그것을 통해 사건의 진실을 재현하는 것 이미지 다루기 - ImDisk -> NTFS 볼륨 이미지 마운팅파일 시스템 다루기 - Ext2FsdMac OS - HFS Explorer -> 일부 CD/DVD와 DMG 컨테이너 포함 HFS와 HFS+ 파일 시스템을 읽을 수 있는 프로그램이다. 디스크와 파일 시스템 분석포렌식 분석은 매체에 있는 파일을 다루는 것이다. 식별은 볼륨에서 어느 활성 파일과 삭제된 파일을 수집할 수 있는지 결정하는 것이고, 추출은 관련 파일의 데이터와 파일의 메타데이터를 수집하는 것이며, 분석은 우리가 알고 있는 정보를 데이터 셋에 적용하고 궁극적으로는 의미 있는 결과를 도출하는 과정이다. 파일 시스템 추상화 모델 - 디스크 : 물리적 저장장치로 간주 .. For3nsic/Forensic 2015. 11. 10.

• 

  FTK Imager 이용한 삭제된 파일 살리기 가끔 컴퓨터를 하다보면 파일을 모르고 삭제할 수 있다.이를 살리기 위해FTK Imager를 사용하여 살려보자. FTK Imager 실행 하면 밑에의 창이 뜬다. 여기서 FILE -> Add Evidence Item...을 누르면 이러한 창이뜨면 다음 이 창은 하드디스크를 선택하는 창이다. 저자는 가상으로 하는 거라 68GB로 잡혀있다. 여러가지가 잡힐수도 있다. Finish를 하면 이러한 창이 뜨는데 옆에 플러스를 누르면 이렇게 파티션 1, 2 가 나오는 것을 확인하고 처음에는 350MB를 봤을 때 부팅을 도와주는 시스템으로 보인다. 파티션 2를 누르면 Root가 나오는 데 Root 매우 중요하다!!! Root -> Recycle.Bin에 들어가면 삭제한 파일들이 나온다. 이렇게 간단하게 찾아 낼수 있다.. For3nsic/Forensic 2015. 11. 9.

• 

  파티션 테이블 확인하는 방법 이건 저의 실제 쓰는 하드를 뜬건데요 보면 0000001b0을 보면 마지막에 80 20 이 보이는 것을 확인 할수 있다. 그전에 00 00 은 널값인것을 알수 있고 그전에 4바이트는 디스크 서명 구역인것을 알수 있다. 80 20 부터 파티션부분이 시작 되는 것이다. 80 나타내는 것은 Boot Flog 즉, 부팅에 사용하는 것이다. 쉽게 말해서 os가 깔려있는 것이다. 만약 00이라면 부팅에 사용하지 않는 것이다. 노란색 부분이 하나의 엔트리로 16byte 한 파티션을 나타내는 것이다. 이렇게 순서를 보면 첫번째, 두번째, 세번째 파티션들은 주파티션인 것을 확인할수 있을 것이다. 그럼 마지막의 4번째는 무엇일까? 의문이 든다. 이는 확장파티션이다.(논리 드라이브는 마지막 확장 파티션에서 연결되는 EBR에.. For3nsic/Forensic 2015. 11. 3.

• 

  MBR 구조 MBR 구조를 보면 이러한 구조를 가지게 되어 있다. 우리가 기본적으로 MBR을 보면 512byte를 활당하여 가지고 있으며 440을 코드 영역에서 가지고 있으며 4바이트를 디스크 서명을 차지한다. 그후 2바이트는 쓰레기 값이고 나머지 값은 파티션값을 나타낸다. 마지막 2바이트는 55 AA를 나타냄으로서 하드상 문제가 없다는 것을 나태내준다. For3nsic/Forensic 2015. 11. 3.