Lucete

흔히 하드디스크, SSD에서 부팅의 개념을 보게 되면 MBR(Mastser Boot Record)를 생각하게 된다. 나 또한 그렇게 생각을 했다. 문뜩 뜬금없이 생각이 났다. 내가 쓰는 컴퓨터의 MBR을 한번 봐야지!! 라고 생각을 하고 Hxd를 켜서 확인을 해보았다!! 엥? 근데 ㄷㄷ 뭔가 Partition부분이 음? 이란 생각이 들어서 확인을 해봤다. MBR이 아닌 GPT 형식이였다. 그래서 GPT 구조를 이렇게 작성해본다. 먼저 왜 멀쩡히 잘쓰고 있는 MBR을 두고 GPT를 사용하는지 알아보자! MBR(Master Boot Record) - 최대 4개의 Partition을 지원한다. - 2TB이상의 하드디스크에서 OS 부팅 및 최신 하드웨어 지원에 한계가 발생했다. GPT(GUID Partition..

For3nsic/Forensic 2020. 12. 20. 16:49

와... 디지털 포렌식전문가 2급 시험치고 멘붕이 오고난 후 EnCE 자격증을 볼려고 신청을 했는데 주위 사람 몇명에게 물어보니 제x코라는 학원?기업? 을 통해 많이 한다는 소리를 들었다. 그래서 처음엔 음 ... 통해서 볼까? 라는 생각을 했는데 금액차이가 나서 그냥 혼자 도저언!!!! 일단 EnCE 홈페이지 들어가서 양식을 다운받고 보는데 디포관련 업무나 수업들었는지 이러한 내용을 쓰는 곳이 있다. 그래서 하나하나 적어내려가는데 난 사실 3번 빠꾸먹었다... ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 4번째 됫는데 1번째는 교육받은것을 적고 수료증을 스캔하여 첨부파일과 함께 신청하면 메일로 이러한 내용의 메일이 온다. 그냥 해석해보면 "신청해줘서고맙고 뭐 신청이 접수됬다. 순서대로 검토하고 연락주겠다~~~" 이런내용이다..

For3nsic/Forensic 2019. 7. 7. 20:44

오늘은 NetBIOS(Network Basic Input/Output System)에 대해 알아보고 정보를 수집하는 것을 볼텐데... NetBIOS가 뭔지 부터 알아보자.! 위에 적힌 영어 그대로 네트워크 베이직 인풋 아웃풋 시스템이다.즉, 별개의 컴퓨터상에 있는 응용 프로그램들이LAN에서 서로 통신 할 수 있도록 해주는 프로토콜이다. 또한 IBM 에서 개발됐으며 전달할 데이터와 수신지 IP등 다른 것들과 함께 명기하는, 네트워크 제어블로의 형식으로 제공된다. NetBIOS는 Ethernet, Token Ring, Windows 네트워크 등에 주로 사용되며 그 자체만으로는 라우팅 기능을 지원하지 않아 광역 통신망 상에서 통신하는 응용 프로그램들은 반드시 다른 전송 프로토콜을 추가하여 사용해야함 세션과 데..

For3nsic/Forensic 2018. 12. 20. 00:45

언른 마무으리!!! 지어야 할 것같습니다!!! :) 2탄에서 생각보다 많은 것들을 못했습니다. 이유는 SysinternalsSuite 도움이 필요해서 말이죠!!그래서 오늘은 SysinternalsSuite 도움을 좀 받아봅시다.! NetBIOS 는 다음 시간엥 케케케케 ummmmmmmmmmm..................먼저 뭐부터 봐야할까요? 먼저 핸들 정보부터 알아봅시다!!핸들이란 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 값이다.그럼 핸들은 하나만 있을까? 아니다. 한프로세스 당 핸들은 여러개가 있는데 실제로 가리키고 있는 오브젝트는 레지스트리에 기본적으로 기록되어있다.프로세스 생성시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값, 파일,포트 등을 포함하고 있다.h..

For3nsic/Forensic 2018. 12. 18. 00:06

2탄이옵시다.!!! 1탄을 쓰고 2탄을 바로 포스팅을 할려고 했는데 ... 출장과 일이 좀많아서 이제 씁니다... 바로 본론으로 들어가 봅시다.! 1탄에서 네트워크 정보수집까지 적은 것으로 기억을 하는데 맞습니까?(혼자 북치고 장구치기) 네~~~~~~~~~~~~ 다음을 계속 이어 적어 봅시다.!!!프로세스 목록을 수집해볼것이다.보는 것과 같이 mac에서는 'ps -ef' 라는 명령어를 주게 되면 프로세스 목록을 수집할 수 있게 된다. 옵션의 ef에서 'f'는 full format listing의 약자이며 'e'는 every의 약자로 현재 실행중인 모든 프로세스를 출력하라는 의미이다.windows에서는 tasklist를 하게 되면 보는 것처럼 pid와 세션이름 등을 나타내준다.옵션을 알고 싶다면 taskl..

For3nsic/Forensic 2018. 12. 10. 01:07

어제 쓴글을 확인해보면 http://blog.z3alous.xyz/226 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다. - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다. 첫번째 내용이 시스템에 영향이 최대한 안가게 작업한다.두번째는 로카르의 교환법칙쉽게말해 무작정 하지말고 조심스럽게 생각해서 수집하라는 말이다. 케케케케케케케케생각해서라 ... 그럼 다시한번 이사진이 필요하다고 생각한다.

For3nsic/Forensic 2018. 12. 3. 00:18

요즘 뭔가 블로그를 적어야 할 것만 같은 기분이 든다... 저번에는 사고대응 등에 대해 포스팅을 했다. 오늘은 휘발성 데이터 수집에 관련하여 내용을 적어볼 것이다.휘발성 데이터는 말그대로 날아가는 데이터이다. 즉, 쉽게 말해 하드디스크에 저장되는 데이터 말고 메모리에 올라가 있거나 컴퓨터를 종료하면 없어지는 데이터들을 말하는 것이다.휘발성 데이터 같은 경우에는 앞에서 말한 것처럼 컴퓨터를 종료하게 되면 사라지기 때문에 컴퓨터를 종료하지 않은 상태(실행되고 있는 상태)에서 진행을 한다.(경우에 따라 다름) - 라이브 리스폰스(live response) 그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까? - 시간, 날짜 정보 - 네트워크 정보 - 사용자 정보 - 프로세스 정보 - 핸들 목록 - 서비스..

For3nsic/Forensic 2018. 12. 1. 21:37

짜쟌~!! 디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.1. 준비 - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다. - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.2. 탐지 - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들 중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.3. 분석 - 이 때부터 본격적으로..

For3nsic/Forensic 2018. 11. 29. 23:32