Lucete284

• 포렌식을 더깊게... 포렌식 분석의 목적 - 진실을 찾고 그것을 통해 사건의 진실을 재현하는 것 이미지 다루기 - ImDisk -> NTFS 볼륨 이미지 마운팅파일 시스템 다루기 - Ext2FsdMac OS - HFS Explorer -> 일부 CD/DVD와 DMG 컨테이너 포함 HFS와 HFS+ 파일 시스템을 읽을 수 있는 프로그램이다. 디스크와 파일 시스템 분석포렌식 분석은 매체에 있는 파일을 다루는 것이다. 식별은 볼륨에서 어느 활성 파일과 삭제된 파일을 수집할 수 있는지 결정하는 것이고, 추출은 관련 파일의 데이터와 파일의 메타데이터를 수집하는 것이며, 분석은 우리가 알고 있는 정보를 데이터 셋에 적용하고 궁극적으로는 의미 있는 결과를 도출하는 과정이다. 파일 시스템 추상화 모델 - 디스크 : 물리적 저장장치로 간주 .. For3nsic/Forensic 2015. 11. 10.

• 

  FTK Imager 이용한 삭제된 파일 살리기 가끔 컴퓨터를 하다보면 파일을 모르고 삭제할 수 있다.이를 살리기 위해FTK Imager를 사용하여 살려보자. FTK Imager 실행 하면 밑에의 창이 뜬다. 여기서 FILE -> Add Evidence Item...을 누르면 이러한 창이뜨면 다음 이 창은 하드디스크를 선택하는 창이다. 저자는 가상으로 하는 거라 68GB로 잡혀있다. 여러가지가 잡힐수도 있다. Finish를 하면 이러한 창이 뜨는데 옆에 플러스를 누르면 이렇게 파티션 1, 2 가 나오는 것을 확인하고 처음에는 350MB를 봤을 때 부팅을 도와주는 시스템으로 보인다. 파티션 2를 누르면 Root가 나오는 데 Root 매우 중요하다!!! Root -> Recycle.Bin에 들어가면 삭제한 파일들이 나온다. 이렇게 간단하게 찾아 낼수 있다.. For3nsic/Forensic 2015. 11. 9.

• 

  파티션 테이블 확인하는 방법 이건 저의 실제 쓰는 하드를 뜬건데요 보면 0000001b0을 보면 마지막에 80 20 이 보이는 것을 확인 할수 있다. 그전에 00 00 은 널값인것을 알수 있고 그전에 4바이트는 디스크 서명 구역인것을 알수 있다. 80 20 부터 파티션부분이 시작 되는 것이다. 80 나타내는 것은 Boot Flog 즉, 부팅에 사용하는 것이다. 쉽게 말해서 os가 깔려있는 것이다. 만약 00이라면 부팅에 사용하지 않는 것이다. 노란색 부분이 하나의 엔트리로 16byte 한 파티션을 나타내는 것이다. 이렇게 순서를 보면 첫번째, 두번째, 세번째 파티션들은 주파티션인 것을 확인할수 있을 것이다. 그럼 마지막의 4번째는 무엇일까? 의문이 든다. 이는 확장파티션이다.(논리 드라이브는 마지막 확장 파티션에서 연결되는 EBR에.. For3nsic/Forensic 2015. 11. 3.

• 

  MBR 구조 MBR 구조를 보면 이러한 구조를 가지게 되어 있다. 우리가 기본적으로 MBR을 보면 512byte를 활당하여 가지고 있으며 440을 코드 영역에서 가지고 있으며 4바이트를 디스크 서명을 차지한다. 그후 2바이트는 쓰레기 값이고 나머지 값은 파티션값을 나타낸다. 마지막 2바이트는 55 AA를 나타냄으로서 하드상 문제가 없다는 것을 나태내준다. For3nsic/Forensic 2015. 11. 3.

• 파일시스템 분석 최근 삭제된 파일이나 사건이 일어난 시점에서 삭제된 파일은 우선 분석 대상이 된다.파일 시스템에 파일 삭제 시 실제 데이터 삭제 없이 메타정보만이 수정 가능 하다.즉, 삭제된 파일의 메타 정보 구조가 덮어써지지 않았다면 파일은 거의 완벽하게 복구된다는 말이다. 디스크 포맷정보 NTFS : 비연속적/연속적으로 할당된 파일 모두 완벽하게 복구가 가능하다.FAT : 비연속적으로 할당된 파일은 부분적인 복구만 가능하다. (FAT Table의 초기화로 연결정보가 사라진다.)삭제된 파일 탐색 FAT12/16/32 : 루트 디렉터리로 부터 탐색하면서 디렉터리 엔트리 첫 바이트가 0xe5인 엔트리 수집 수집 exFAT : 파일 디렉터리 엔트리 값이 0x05인 엔트리 수집NTFS : $MFT 의 $BITMAP 속성에서 .. For3nsic/Forensic 2015. 11. 2.

• 컴퓨터 기본 컴퓨터의 하드웨어 구성 부품 케이스 – 컴퓨터 시스템 구성 부품을 감쌀 뿐만 아니라 담고, 지탱해준다. 전기에 감전되는 것을 막아주며 내부구성 부품을 먼지와 습기, 외부에서의 직접적인 충격으로부터 보호 해준다. ROM(Read Only Memory) – 데이터를 영구적으로 혹은 반영구적으로 저장할 수 있는 메모리의 한 종류로, 그안에 내용을 추가하거나 수정하는 것이 거의 어렵거나 불가능한 성질을 갖고 있다. 또한 비휘발성의 성질을 가지고 있다.읽기 전용과 비휘발성? 이는 컴퓨터가 부팅에 필요한 컴퓨터 시동 구성 설정과 코드를 갖고 있는 파일을 ROM에 저장하는 데 적절하다 -> ROM BIOS RAM(Random Access Memory) - 컴퓨터의 주 메모리로서 데이터와 코드, 설정 등을 저장하기 위.. For3nsic/Forensic 2015. 11. 1.

• 

  Encase 파티션 복구하기 Encase 를 이용하여 파티션을 복구하자!!! 먼저 keyword를 추가하자 추가할 키워드는 \xEB..(MSDOS)|(NTFS) For3nsic/Forensic 2015. 10. 30.

• 

  Encase Partition Table (Entry size : 16byte) - Partition Table Layout`[그림 1] [그림 2]기본적으로 MBR은 512 byte를 가진다. 코드영역이 440 byte를 가지고 디스크 서명이 4byte를 가진다. 파티션테이블에 가기 전에 2 byte가 비어있으며 16 byte씩 이루어 져있다. 하나의 디스크에 최대 네 개의 파티션만을 기록할 수 있다. 그게 바로 주 파티션이다. 이제 첫번째 파티션을 찾아 보자. - NTFS가 시작하는 곳은 MBR로부터 63sector만큼 떨어 져있다.(File System은 MBR로 부터 63 sector 떨어진 곳에 위치한다.) For3nsic/Forensic 2015. 10. 30.

• 

  Encase - 실습 2 북마크 - Highlighted Data Bookmark : 데이터 복사해서 북마크 - Notable File Bookmark : 개개의 파일을 북마크파일선택 -> 북마크 - Folder Information Bookmark : 폴더의 트리 구조Bookmark Folder structure 선택 - Notes Bookmark : 주석 가능 For3nsic/Forensic 2015. 10. 30.

• 

  Encase - 실습 1 1. 증거 장치 마운트가. USBAdd Device -> Local Drivers -> Choose Drive(E:\) [그림 1] Choose Devices [그림 2] 나. 이미지이미지 만들기 - Edit -> Acquire - 기본크기 : 640MB- 압축- 저장경로 [그림 3] 키워드 추가 Global keyword : view -> keyword(keywords.ini에 저장)local keyword : view -> Cases SubTab -> keyword ? 4.2에는 Hemmmmm... [그림 4] 키워드 검색 : keyword -> New -> 키워드 입력 -> 키워드 체크 - 이미지 : Discarded Diskette 추가 - keyword 검색 : Basher, Stewart, M.. For3nsic/Forensic 2015. 10. 30.

• Encase - 개요 little-endian - 첫번째 저장바이트에 숫자의 가장 하위 바이트를 위치한다.- intel 같은 IA32기반 시스템이 주로 쓰는 저장 방식Ex)0xaabbccdd -> ddccbbaa big-endian - 첫번째 저장바이트에 숫자의 가장 상위 바이트를 위치한다. - APPLE, UNIX 계열 Ex) 0xaabbccdd -> aabbccdd FAT(File Allocation Table)- Directory Entry : 파일/폴더이름, 시작 클러스터의 정보- FAT : 클러스터 현재 사용 여부, 사용가능 한지 확인 NTFS(New Technology File System)- $MFT : 파일/폴더 이름, 시작 클러스터의 정보- $BitMap : 클러스터 현재 사용 여부, 사용가능한지 확인 Res.. For3nsic/Forensic 2015. 10. 30.

• 

  Encase - MBR PS - 물리적인 섹터 숫자 표시LS - 논리적인 섹터 숫자 표시CL - 클러스터 숫자 표시, ~번째 클러스터SO - 섹터 시작부터의 거리( byte)FO - 파일 시작부분까지의 거리(byte)LE - 선택영역의 크기 표시(byte) X - Deleted, Overwritten File : 파일이 삭제되고 다른 파일에 의해 덮어써진 파일로 완전 복구는 불가능O - Deleted File : 삭제되었으나 겹쳐쓰기 되지 않았다는 의미, 완전 복구 가능Lost File(Folder, Unallocated) : parent 폴더가 존재하지 않는 파일들을 모아서 가상의 폴더에 저장한다. Internal File - 파일시스템과 같이 운영체제가 만드는 파일Invalid Cluster - 파일이름 흔적은 있으나 저장.. For3nsic/Forensic 2015. 10. 30.

• 

  Encase For3nsic/Forensic 2015. 10. 29.

• Encase - 1 Digital Forensic 증거 이미지 - 세 가지 기본 요소(헤더, 체크섬, 데이터 블록)으로 구성 되며, 이를 분석시 컴퓨터 디스크의 상태를 Self-Checking하여 제공 CRC(Cyclical Redundancy Check) - 순환 중복 검사 - CRC는 체크섬과 매우 비슷한 방식으로 동작하지만 체크섬과 달리 Order-sensitive 특성을 지님 이는 문자열은 같은 체크섬을 가지지만 문자열 마다 서로 다른 CRC를 가지게 된다. 대부분 하드웨어는 각 섹터마다 하나의 CRC를 저장하며 디스크에서 READ 에러가 발생했다는 것은 디스크 섹터의 CRC와 해당 섹터가 읽어진 후 드라이브 하드웨어에 의해 재계산 된 값이 서로 다르다는 것을 의미한다. 증거이미지 포맷 - 각각의 파일은 정확하게 섹.. For3nsic/Forensic 2015. 10. 29.

• Forensic 증거분석하기 전 증거 분석하기전에 해야하는 작업으로 포렌식 절차에서 증거 PC하드디스크를 디스크 복사기에 넣고 공 하드에 섹터 그대로 옮긴 후 해당 옮겨진 데이터를 가진 증거 사본 하드디스크를 분석하기 전에 해당 하드디스크와 원본 하드디스크의 SHA 해시, md5 해시를비교해서 같은 후 Read-Only 상태로 분석을 시작해야 한다.증거 분석 방식에는 두가지 방식이 존재하는데 1) 사본 HDD를 마운트 시켜서 분석하는 방법2) 사본 HDD를 또 한번 이미지로 떠서 이미지 파일 자체로 분석하는 방법이 있다.HDD RPM 속도에 의해 속도가 달라지기 때문에 본인 HDD가 SSD(시바 속도 돋네)라면 이미지로 떠서 분석하는게 초당 평균 120MB/s로 분석이 가능하다. 가장 첫번째로 해야할 디스크 해시값 검증 But whit.. For3nsic/Forensic 2015. 10. 29.

• RFHACKING Rf spectrum Analyzing관련툴Gqrx – hack rfSdr#Gnu RadioRF analyzer – 안드로이드용도 있음, 단점 수신을 하는 기능 밖에없다. Rf signal replay attack GNU RADIOSdr 소프트웨어 SDR = Software Defined Radio무선 신호 송수신 기능 리플라이할때에는 소스를 저장해주고 핵rf로전송전파법 조심 - ism 밴드 주파수 대역 검색 – 무선 신호 캡쳐 – 그리고 리플라이로 보냄 Security Study/Network 2015. 10. 29.

• web 2일차 LFI1. Local File Include Attack 의 줄임말2. Include, require 등의 함수가 주 타겟3. 원하는 코드를 실행할 수 있으니 크리티컬 메인페이지 – 로그인- 글쓰기- 패스워드 파일- 업로드한 파일 과연 우리가 원하는 코드를 어떻게 넣지?1. /proc/self/environ2. /proc/loadavg/proc/$PID/environ3. 웹서버 로그4. 에러 로그----------------------------- 버전이 올라가면서 위의 공격은 힘들어짐5. 파일 업로드 -> 많이 사용됨 코드말고 wrapper1. fopen, copy, file등의 함수에 쓰임2. file://, http://, ftp:// 등등3. 대부분의 래퍼가 allow_url_include 가 o.. Security Study/Web 2015. 10. 23.

• 

  windows And linux ip차단 윈도우 같은 경우는 방화벽을 쓰는데... 여기서 고급 설정을 클릭후 다음을 누르고 포트와 프로토콜 차단 아이피를 설정한다. 리눅스의 경우 sudo iptables -A INPUT -s 차단하고 싶은 아이피 -j DROP iptables -L -> 리스트 보는 명령어 Security Study/Server(Linux) 2015. 10. 22.

• 

  integer overflow #include int main(){ int a,b; printf("a + b = 0 (a,b != 0)\n"); printf("A = "); scanf("%d",&a); printf("B = "); scanf("%d",&b); if(a + b == 0) { printf("Congratulation!\n"); } else if(a == 0 || b ==0) { printf("Fuck up!\n"); } else { printf("Fuck you!\n"); } return 0;} integer overflow란?기본 정수형에서 저장할 수 있는 기본치의 값보다 더 큰 수를 입력하여 예기치 않은 행동을 취하게 하는 것 Security Study/System 2015. 10. 22.

• webhacking web hacking - 1) 서버에 있는 개인정보 탈취 2) 시스템해킹을 위한 발판 XSS(크로스 사이트 스크립트) - 공격자가 서버를 통해 사용자를 공격 다른 사용자쿠키나 세션아이디를 탈취해서 사용자의 권한을 습득sotored - 저장되있는 것 (이벤트 핸들러) – 이용 ex) bob"onmouseover="alert(1)" 밑의 두줄이 한스크립트‘”a=’ ‘onerror=alert(1);> reflected – 쿠기, 사용자의 값을 서버에 날렸을 때 리턴값으로 ‘);alert(‘1%0aalert(1);/* -> %0a 개행문자 이용 다운로드 취약점../../target -> 상위 디렉토리로 올라감../target%00 -> NULL.\./targetindex.phpinext.pp Security Study/Web 2015. 10. 16.

• 

  LOB troll -> vampire 먼저 소스를 보면 앞이랑 다른 점을 많이 볼수 있다. 무엇보다 주소값이 0xbfffxxxx 가 될수 없는 점이다.이게 무엇 이 문제일까? 지금 까지 풀어온 문제의 주소값들을 확인 하면 전부다 bfff인것을 확인 할수 있다. 또 한가지 달라진점은 길이 검사를 하지 않는 다는 것이다. 이를 이용하여 우회하여 보자 gdb 를 들어가서 공격을 하는데 일단 100000이라는 큰수를 대입해여 주소값을 확인해 볼것이다.이렇게 바뀐것을 볼수 있다. 또한 bffe라는 것도 확인할 수 있다. 이로 payload를작성해보자\x90*44(버퍼와 더미) 그리고 주소값 + 다시 \x90 100000 높슬레드를 위한 값 + 쉘코드 쉘이 따이는 것을 확인할 수 있다. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• 

  LOB orge -> troll 먼저 소스를 확인해보자!인자는 2개를 넘을수 없고 argv[1]은 48자 또한 memset으로 초기화가 된다. 그럼 일단 생각을 해보면 기본적으로 파일이름 때문에 argv[0]은 먹고 간다. 그러므로 생각을 해야하는데;;; 파일이름을 심볼릭링크를 이용해서 쉘코드를 등록 하면 어떨까? 저자는 48바이트를 쉘코드를 사용하였다. 이유는 \x2f 즉 / 가있으면 심볼릭 링크를 만들수 없기 때문이다. 이렇게 심볼릭 링크를 걸고 난후 gdb 를 이용해 들어가서 공격을 하고 주소값이 뒤덮인 것을 확인 해보고 주소값을 이용하여 공격을 한다. 물론 심볼릭 링크를 이용한다. 그렇게 되면 core파일이 만들어 지는데 이를 이용하여 진짜 주소값을 구해볼 껀데 core를 gdb 로 확인 하고 x/700s $esp를 하다보면 이.. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• system 24byte shellcode \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80 Security Study/System 2015. 10. 15.

• 

  Use After Free use after free 라는 취약점은 프로그램 메모리는 크게 Code/Data/Heap/Stack으로 나눌 수 있는데 Code+Data=Binary영역 Heap=프로그래머가 동적 할당/회수/제어 할 수 있는 영역 Stack=함수 개별공간(스택프레임),인자전달등으로 사용하는 영역 이렇게 구분할 수 있다 이 중에서 UAF는 프로그래머가 힙 영역을 잘못 다뤘을 때 발생하는 취약점이다. 아래의 소스를 보자 #include #include typedef struct UAF{int number;}uaf; int main(void){uaf *one;uaf *two; one = malloc(100);printf("one->number:%d\n",one->number); one->number=12345;printf(.. Security Study/System 2015. 10. 12.

• pwnable.kr shellshock 보호되어 있는 글 입니다. 2015. 10. 11.