๐’ƒ๐’†๐’‚๐’–๐’•๐’š ๐’Š๐’๐’•๐’†๐’๐’๐’Š๐’ˆ๐’†๐’๐’•
728x90
๋ฐ˜์‘ํ˜•
GPT(GUID Partition Table)์—์„œ์˜ MFT๋Š” ๊ณผ์—ฐ?
For3nsic/Forensic 2023. 3. 24. 23:40

ํ•ด๋‹น ๋ธ”๋กœ๊ทธ๋Š” ํ•ดํ‚น ๋ฐ ๋ณด์•ˆ ๋ธ”๋กœ๊ทธ๋กœ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ ์ž‘์„ฑ๋˜์–ด์ง€๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์•„๋ž˜์˜ ๋‚ด์šฉ์„ ๊ธฐ๋ฐ˜์œผ๋กœ ํ•ดํ‚น ์‹œ๋„ ๋ฐ ์‹ค์ œ ๊ณต๊ฒฉ์„ ์‹œ๋„ํ•˜์—ฌ ์ผ์–ด๋‚˜๋Š” ๋ชจ๋“  ์ฑ…์ž„์€ ๋ณธ์ธ(๋”ฐ๋ผํ•œ์ž)์—๊ฒŒ ์žˆ์Œ์„ ์•Œ๋ ค๋“œ๋ฆฌ๋ฉฐ, ๊ธ€์“ด์ด๋Š” ์•„๋ฌด๋Ÿฐ ์ฑ…์ž„์„ ์ง€์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๊ผญ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ๋งŒ ์‚ฌ์šฉํ•˜์—ฌ ์ฃผ์‹œ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค. ๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค. ๋‚ด์šฉ ์ตœ๊ทผ์— ์ด๊ฒƒ์ €๊ฒƒ ํ•˜๋‹ค๊ฐ€ ํ•œ๊ฐ€์ง€ ์˜๋ฌธ์ ์ด ์ƒ๊ฒผ๋‹ค. ์ž๋™ํ™”๋ฅผ ๋งŒ๋“ค๊ณ  ์žˆ๋Š”๋ฐ NTFSํŒŒ์ผ ์‹œ์Šคํ…œ์˜ ๊ฒฝ์šฐ MFT(master file table)์„ ์†์‰ฝ๊ฒŒ ์ˆ˜์ง‘์„ ํ• ์ˆ˜์žˆ์—ˆ๋‹ค. ๊ทธ๋Ÿฐ๋ฐ ์–ด๋Š ์‹œ์Šคํ…œ์—์„œ๋Š” ์ž˜๋˜๋Š”๋ฐ ์–ด๋Š ์‹œ์Šคํ…œ์—์„œ๋Š” ์ˆ˜์ง‘์ด ์ž˜์•ˆ๋˜์–ด์„œ ๊ถ๊ธˆ์ฆ์ด ์ƒ๊ฒผ์—ˆ๋‹ค. ๊ทธ๋ž˜์„œ ์ด๊ฒƒ์ €๊ฒƒ ์ฐพ๋‹ค๊ฐ€ GPT(GUID Partition Table)์˜ ๊ฒฝ์šฐ ์ˆ˜์ง‘์ด ์ž˜์•ˆ๋˜๋Š” ๊ฒƒ๊ฐ™์•˜๋‹ค. ์›์ธ์ด ๊ณผ์—ฐ ์ด๊ฒƒ์ผ๊นŒ ์ƒ๊ฐํ•˜๋ฉด์„œ ํ™•์ธ์„ ํ•ด..

article thumbnail
CTF forensic(Recovering From the Snap) ๋ฌธ์ œ

์š”์ฆ˜ ์ผ์ด ๋งŽ์•„์„œ CTF(Capture The Flag)์— ์ฐธ์—ฌํ•˜์ง€ ๋ชปํ•œ์ง€ ์˜ค๋ž˜๋œ ๋“ฏํ•˜๋‹ค... ๊ทธ๋ž˜์„œ ํ˜ผ์ž ๋ฌธ์ œ๋“ค ๋ญ์žˆ๋‚˜ ๋ณด๋‹ค๊ฐ€ ...forensic(file carving)์ด๋ผ๋Š” ๋ฌธ์ œ๋ฅผ ๋ณด๊ณ  ์˜ค์˜ค์˜ค์˜ค์˜ค์˜ค!!!!!!!!!!!์ด๊ฑฐ๋‹ค!!! ๋ผ๊ณ  ์ƒ๊ฐํ•ด์„œ ํ’€์–ด๋ณด์•˜๋‹ค.. ๋ฌธ์ œ๊ฐ€ ์ƒ๊ฐ๋ณด๋‹ค ์‰ฝ๊ฒŒ ํ’€๋ ธ๊ณ  ํ’€์ด๋„ ์—ฌ๋Ÿฌ๊ฐ€์ง€ ๋ฐฉ๋ฒ•์œผ๋กœ ํ’€์–ด๋ณด์•˜๋‹ค. ์ ์ˆ˜๋Š” 150์ ์ด์˜€๋Š”๋ฐ!!! ๋ฌธ์ œ๋Š” There used to be a bunch of animals here, what did Dr. Xernon do to them? ์ด๊ฑฐ์˜€๋‹ค.ํ•œ๋ฒˆ ํ’€์–ด๋ณด์ž ์ฒซ๋ฒˆ์งธ ๋ฐฉ๋ฒ•์€ foremost๋ฅผ ์ด์šฉํ•˜์—ฌ ํ‘ธ๋Š” ๋ฐฉ๋ฒ•์ด๋‹ค.animals.dd ์ด๋ฏธ์ง€๊ฐ€ ์ฃผ์–ด์ง„๋‹ค. file ๋ช…๋ น์–ด๋ฅผ ์ด์šฉํ•˜์—ฌ file animals.dd๋ฅผ ํ•ด๋ณด๋ฉด DOS/MBR boot sect..

article thumbnail
๋””์ง€ํ„ธ ํฌ๋ Œ์‹์˜ ์‚ฌ๊ณ ๋Œ€์‘ ๋ฐ ์ฆ๊ฑฐ์ฒ˜๋ฆฌ
For3nsic/Forensic 2018. 11. 29. 23:32

์งœ์ŸŒ~!! ๋””์ง€ํ„ธ ํฌ๋ Œ์‹์— ์žˆ์–ด์„œ ์นจํ•ด ๋‹นํ–ˆ๊ฑฐ๋‚˜ ์‚ฌ๊ณ ๊ฐ€ ์ผ์–ด๋‚˜๋ฉด ์ฆ๊ฑฐ๋ฅผ ์ˆ˜์ง‘ํ•˜๊ณ  ์ฒ˜๋ฆฌํ•˜๋Š” ๊ฒƒ์— ๋Œ€ํ•ด ์•Œ์•„๋ณด์ž :D ์‚ฌ๊ณ ๊ฐ€ ์ผ์–ด๋‚˜ ์‚ฌ๊ณ  ๋Œ€์‘ ์ ˆ์ฐจ๋ฅผ ๋ณด๊ฒŒ ๋˜๋ฉด ํฌ๊ฒŒ 6๊ฐœ๋กœ ๋‚˜๋ˆ„์–ด์ง„๋‹ค.1. ์ค€๋น„ - ์ค€๋น„๊ฐ€ ๋˜์–ด์žˆ์œผ๋ฉด ์–ด๋– ํ•œ ์‚ฌ๊ณ ๊ฐ€ ๋ฐœ์ƒํ–ˆ์„ ์‹œ ์‹ ์†ํ•˜๊ฒŒ ๋Œ€์‘ ํ• ์ˆ˜ ์žˆ๋‹ค. ์ค€๋น„๋Š” ์‚ฌ๊ณ  ๋Œ€์‘ ๊ณ„ํš์„ ์ˆ˜๋ฆฝํ•˜๋Š” ๋‹จ๊ณ„๋ฅผ ์ด์•ผ๊ธฐํ•œ๋‹ค. - ํ”„๋กœ์„ธ์Šค, ์ ˆ์ฐจ, ์กฐ์‚ฌ์— ํ•„์š”ํ•œ ๋„๊ตฌ ๋“ฑ์ด ๋ชจ๋‘ ํฌํ•จ๋˜๋ฉฐ ๋ฌผ๋ก  ์กฐ์‚ฌ์— ํ•„์š”ํ•œ ๋„๊ตฌ ์‚ฌ์šฉ๋ฒ• ๋˜ํ•œ ํฌํ•จ๋œ๋‹ค.2. ํƒ์ง€ - ์ƒ๊ฐ์„ ํ•ด๋ณด์ž ๊ธฐ๋ณธ์ ์œผ๋กœ ๋งŽ์€ ๊ด€์ œํšŒ์‚ฌ ๋ฟ์•„๋‹ˆ๋ผ ์—ฌ๋Ÿฌ๊ณณ์—์„œ ๊ด€์ œ๋ฅผ ํ•˜์ง€๋งŒ ๊ณต๊ฒฉ์€ ๊ณ„์†๋“ค์–ด์˜ค๊ณ  ์‚ฌ๊ฑด ์‚ฌ๊ณ ๋Š” ๊ณ„์† ๋ฐœ์ƒํ•œ๋‹ค. ์—ฌ๊ธฐ์„œ ํƒ์ง€ ๋Šฅ๋ ฅ์€ ์ด๋งŽ์€ ๊ฒƒ๋“ค ์ค‘ ์ค‘์š”ํ•œ ๊ฒƒ์„ ๊ณจ๋ผ ์–ด๋– ํ•œ ๊ณต๊ฒฉ(์‚ฌ๊ฑด)์œผ๋กœ ์—ฐ๊ฒฐ๋˜๋Š”์ง€๋ฅผ ํŒ๋‹จํ•˜๋Š” ๋Šฅ๋ ฅ์ธ ๊ฒƒ ๊ฐ™๋‹ค.3. ๋ถ„์„ - ์ด ๋•Œ๋ถ€ํ„ฐ ๋ณธ๊ฒฉ์ ์œผ๋กœ..

article thumbnail
ํ™€๋ฆฌ์‰ด๋“œ 2016? forensic memory :)
Wargame/CTF(Capture The Flag) 2017. 1. 11. 02:11

์–ด์ฉŒ๋‹ค ๋ณด๋‹ˆ ์ฐพ๊ฒŒ ๋œ๋ฌธ์ œ!!! ํ’€์–ด๋ณด์ž !! ๊ทผ๋ฐ ๋งž๊ฒŒ ํ‘ธ๋Š”์ง€๋ฅผ ๋ชจ๋ฅด๊ฒ ๋‹ค :( ๋ฌธ์ œ๋Š” Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server ์ด๋ ‡๊ฒŒ ๋ž€๋‹ค.์‹œ์ž‘ํ•˜์ž !! ํฌ์™€์•„์•„์•™ ๋‚˜์™€๋ผ ! volatility!!!! ๋จผ์ € imageinfo ๋ฅผ ํ†ตํ•ด profile๊ณผ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ํŒŒ์ผ ์ƒ์„ฑ ์‹œ๊ฐ„์„ ํ™•์ธ ํ›„ pslist๋ช…๋ น์–ด๋ฅผ ํ†ตํ•ด ํ”„๋กœ์„ธ์Šค ๋ฆฌ์ŠคํŠธ๋ฅผ ํ™•์ธ ํ•ด๋ณด์•˜๋‹ค. ๋ณด๋‹ค๋ณด๋‹ˆ attrib.exe๋ฅผ ๋ณด๊ณ  ๋ฌด์Šจ ํŒŒ์ผ์ธ์ง€ ์˜๋ฌธ ์ด์ƒ๊ฒผ๋‹ค.๋ฐ”๋กœ ๊ตฌ๊ธ€๋กœ ๋‹ฌ๋ ค..

article thumbnail
๋ฉ”๋ชจ๋ฆฌ ํฌ๋ Œ์‹์—์„œ volatility ๋ฅผ ์‚ฌ์šฉํ•˜๋ฉด์„œ ... :)

๋ฉ”๋ชจ๋ฆฌ ํฌ๋ Œ์‹์— ๋น ์ ธ์„œ ์š”์ฆ˜ ๊ณต๋ถ€ํ•˜๋‹ค๊ฐ€ volatility๋ฅผ ์‚ฌ์šฉํ•˜๋Š” ๋„์ค‘ ์˜๋ฌธ์ด ๋“ค์—ˆ๋‹ค. ์˜๋ฌธ์ด๋ผ๊ธฐ ๋ณด๋‹จ ์ž˜ ๋ณด์ง€ ์•Š์•„ ์ƒ๊ธด ๋ฌธ์ œ์ด์ง€๋งŒ ... ๋จผ์ € imageinfo ๋ฅผ ํ•˜์—ฌ ๋ฉ”๋ชจ๋ฆฌ๋คํ”„์˜ ํ”„๋กœํŒŒ์ผ์„ ํ™•์ธ ํ• ์ˆ˜์žˆ๋‹ค...์—ฌ๊ธฐ์„œ ์˜๋ฌธ์ด ๋“ค์—ˆ๋Š”๋ฐ ........ ๋‘๋‘ฅ !!! BoB.vmem ํŒŒ์ผ์˜ ํ”„๋กœํŒŒ์ผ์€ windows XPSP2x86๊ณผ XPSP3x86 2๊ฐœ๊ฐ€ ๋‚˜์˜จ๋‹ค... ๋ฌผ๋ก  ์•„๋Š” ์‚ฌ๋žŒ๋„ ์žˆ๋‹ค. ์–ด๋–ป๊ฒŒ ์„œ๋น„์ŠคํŒฉ์„ ์ฐพ์•„๋‚ด๋Š”์ง€... ๋ˆˆ์ด์žˆ๋‹ค๋ฉด ์•ˆ๋‹ค... ๋‚œ ๋ˆˆ์ด์—†์—ˆ๋‹ค.๊ทธ๋ž˜์„œ ๋ช…๋ น์–ด๋ฅผ ํ†ตํ•ด์„œ ์•Œ์•„ ๋ดค๋‹ค. ์–ด๋–ป๊ฒŒ? dlllist | grep xpsp2

article thumbnail
RC3CTF_300_Breaking News
Wargame/CTF(Capture The Flag) 2016. 12. 16. 17:39

300 - Breaking NewsWe just received this transmission from our news correspondents. We need to find out what they are telling us.file ๋ฌธ์ œ์ธ๋ฐ ๋ฌธ์ œ์˜ ํŒŒ์ผ์„ ๋ฐ›์•„๋ณด๋ฉด ์•Œ์ง‘์œผ๋กœ ํŒŒ์ผ์„ ํ•˜๋‚˜ ์ฃผ๊ณ  ๊ทธ๊ฒƒ์„ ํ’€๋ฉด ์ด์ œ ์šฐ๋ฆฌ๊ฐ€ ํ’€์–ด์•ผ ํ•˜๋Š” ๋ฌธ์ œ ํŒŒ์ผ๋“ค์ด ๋‚˜์˜จ๋‹ค. ๋จผ์ € ํ—ฅ์Šค๋กœ ํŒŒ์ผ์„ ํ™•์ธ ํ•ด๋ณด๋ฉด ๋ณ„ ํŠน์ดํ•œ ๊ฒƒ์ด ์—†๋Š” ๊ฒƒ๊ฐ™๋‹ค ํ•˜๋‚˜ ํ•˜๋‚˜ ๋ณด๋˜ ๋„์ค‘ ๋งˆ์ง€๋ง‰์— base64๋กœ ๋””์ฝ”๋”ฉ์ด ๋˜์–ด ์žˆ๋Š” ๊ฒƒ ๊ฐ™์€ ๋ฌธ์ž์—ด์„ ๋ฐœ๊ฒฌํ•˜๊ณ  ํ•˜๋‚˜ํ•˜๋‚˜ ํŒŒ์ผ์—์„œ ๊ทธ๋Ÿฌํ•œ ๊ธ€์ž๋งŒ ๋ชจ์•„๋ณด์•˜๋‹ค. ์ด ๋‚˜์˜จ ํŒŒ์ผ์€ 5๊ฐœ chapter 4, 9, 10, 15, 18 ์ด๋ ‡๊ฒŒ ๋‚˜์™”๋‹ค. ์ด์ œ base 64 decoding ์„ ํ•ด๋ณด์ž base 64 ๋””์ฝ”๋”ฉ์„ ํ•˜๋‹ˆ..

๋””์Šคํฌ / ํŒŒ์ผ์‹œ์Šคํ…œ
For3nsic/Forensic 2015. 12. 22. 21:28

- ๋””์Šคํฌ ๋น„๊ต์  ๋‹จ์ˆœํ•œ ๊ตฌ์กฐ๋ฅผ ๊ฐ€์ง€๊ณ  ์žˆ๋‹ค. ๊ทธ๋Ÿฌ๋‚˜ ๋งŒ์•ฝ ์™ธ๋ถ€ ์—…์ฒด์— ์˜๋ขฐ๋ฅผ ํ•œ๋‹ค๋ฉด ์ •๋ณด ์œ ์ถœ์ด ๋˜๋ฏ€๋กœ ์ฃผ์˜ ํ•ด์•ผํ•˜๋Š” ๋‹จ์ ์ด ์žˆ๋‹ค.๋””์Šคํฌ๋ฅผ ๋ถ„์„ ํ• ๋•Œ๋Š” ์ฆ๊ฑฐ ์ €์žฅ์šฉ ๋””์Šคํฌ๋ฅผ Master๋กœ ์„ค์ •ํ•˜์—ฌ ๋ถ„์„ ๋Œ€์ƒ ๋””์Šคํฌ๋ฅผ slave๋กœ ์ง€์ •ํ•˜์—ฌ ๋ถ€ํŒ…์„ master๋กœ ํ•œ๋‹ค.์ด์œ ๋Š” ์ฆ๊ฑฐ์šฉ ๋””์Šคํฌ์— ์˜ํ–ฅ์„ ์ฃผ์ง€ ์•Š๊ธฐ ์œ„ํ•ด์„œ ์ด๋‹ค. ๋””์Šคํฌ ๋ถ„์„ - ๋ฐ˜๋“œ์‹œ ์›๋ณธ์„ ๋ณต์ œํ•œ ๋ณต์‚ฌ๋ณธ์„ ๊ฐ€์ง€๊ณ  ๋ถ„์„์„ ํ•œ๋‹ค. - ์ฝ๊ธฐ ์ „์šฉ์œผ๋กœ ์„ค์ •ํ•œ ํ›„ ๋ถ„์„ํ•œ๋‹ค. - ๋ณต์ œ ๋””์Šคํฌ๋Š” ์›๋ณธ ๋””์Šคํฌ๋ž‘ ์šฉ๋Ÿ‰์„ ๊ฐ™๊ฒŒํ•œ๋‹ค. (๊ฐ™์€๊ฒŒ ์—†๋‹ค๋ฉด ํฌ๊ฒŒ) ๋””์Šคํฌ ๋ณต์ œ - H/W ์ ์ธ ๋ฐฉ๋ฒ• : ์žฅ๋น„๋ฅผ ์ด์šฉ, ์‚ฌ์šฉ์ด ๊ฐ„ํŽธํ•˜๊ณ  ์†๋„๊ฐ€ ๋น ๋ฅด์ง€๋งŒ ๊ฐ€๊ฒฉ์ด ๋น„์‹ธ๋‹ค. ๋˜ํ•œ ๋ผ์ด๋ธŒ ์‹œ์Šคํ…œ์—์„œ ์ˆ˜ํ–‰์ด ๋ถˆ๊ฐ€๋Šฅํ•˜๋‹ค. - S/W ์ ์ธ ๋ฐฉ๋ฒ• : ๋ผ์ด๋ธŒ ํ•œ ์‹œ์Šคํ…œ์—์„œ ๊ทธ๋Œ€๋กœ ๋””์Šคํฌ ๋ณต์‚ฌ ..

article thumbnail
Forensic TimeLine
For3nsic/Forensic 2015. 12. 14. 07:57

ํƒ€์ž„๋ผ์ธ์ด ๋ฌด์—‡์ผ๊นŒ? ํƒ€์ž„๋ผ์ธ์€ ์‚ฌ์ „์˜๋ฏธ๋กœ๋Š” ์—ฐ๋Œ€ํ‘œ, ์‹œ๊ฐํ‘œ ์ด๋Ÿฌํ•œ ์˜๋ฏธ๋ฅผ ๋“ค๊ณ ์žˆ๋‹ค.๋˜๋Š” ๋น„๋””์˜ค ํด๋ฆฝ์ด๋‚˜ ์˜ค๋””์˜ค ํด๋ฆฝ์„ ์ˆœ์„œ๋Œ€๋กœ ๋ฐฐ์น˜ํ•˜๋Š” ํŽธ์ง‘ ํ”„๋กœ๊ทธ๋žจ ์ž‘์—… ๊ณต๊ฐ„. ํƒ€์ž„๋ผ์ธ์€ ๋ ˆ์ด์–ด์™€ ํ”„๋ ˆ์ž„์œผ๋กœ ๊ตฌ์„ฑ๋˜์–ด ์žˆ๋Š”๋ฐ, ๋ ˆ์ด์–ด์˜ ๊ฒฐํ•ฉ์„ ํ†ตํ•ด ํ™”๋ฉด์˜ ์ด๋ฏธ์ง€๋‚˜ ์˜ค๋””์˜ค๋ฅผ ๋ฐฐ์น˜ํ•จ์œผ๋กœ์จ ์›€์ง์ด๋Š” ์• ๋‹ˆ๋ฉ”์ด์…˜์ด๋‚˜ ์Œ์•…์„ ๋งŒ๋“œ๋Š” ๊ธฐ๋Šฅ์ด๋‹ค.- ๋„ค์ด๋ฒ„ ์šฉ์–ด์‚ฌ์ „ - ๊ทธ๋Ÿฌ๋‚˜ ์‚ฌ์ „์„ ์ƒ๊ฐํ•˜์ง€ ๋ง๊ณ  ์žˆ๋”๋ผ๋„ ์ฃผ์œ„์— ์Œ์•…์„ ํ•˜๋Š” ์‚ฌ๋žŒ์ด๋‚˜ ๋น„์Šทํ•œ ์ผ์„ ํ•˜๋Š” ์‚ฌ๋žŒ๋“ค์„ ๋ณด๋ฉด ํƒ€์ž„๋ผ์ธ์ด๋ผ๋Š” ๋‹จ์–ด๋ฅผ ๋งŽ์ด ์‚ฌ์šฉํ•œ๋‹ค.์ด์ฒ˜๋Ÿผ ์ปดํ“จํ„ฐ๋ฅผ ๋ถ„์„ํ• ๋•Œ ๋˜ํ•œ ํƒ€์ž„๋ผ์ธ์ด ์‚ฌ์šฉ๋˜๋Š”๋ฐ ์–ด๋– ํ•œ ๋™์ž‘์„ ํ–ˆ๋Š”์ง€ ์‹œ๊ฐ„์„ ๋‚จ๊ฒจ์ค€๋‹ค. ์ฐจ์ด๊ฐ€ ์žˆ์„ ์ˆ˜ ์žˆ์ง€๋งŒ ์ด๋Ÿฌํ•œ ์˜๋ฏธ๋ฅผ ๊ฐ€์ง„๋‹ค. ์ด๋Ÿฌํ•œ ๊ธฐ๋Šฅ์„ ์–ด๋””์„œ ํ• ์ˆ˜ ์žˆ์„๊นŒ?ํƒ€์ž„๋ผ์ธ ๊ธฐ๋Šฅ์€ ์ธ์ผ€์ด์Šค์— ์žˆ๋Š” ๊ธฐ๋Šฅ์ด๋ผ๊ณ  ์•ˆ๋‹ค. ์ธ์ผ€์ด์Šค 7.x..

USB ์ž์ฒด๊ฐ€ ์•„๋‹Œ ์šด์˜์ฒด์ œ ๋‹จ์—์„œ ์ €์žฅ์žฅ์น˜์—์„œ ์“ฐ๊ธฐ ๋ฐฉ์ง€ํ•˜๊ธฐ
For3nsic/Forensic 2015. 11. 23. 23:11

์ œ๋ชฉ ๊ทธ์ž์ฒด๋กœ ์ €์žฅ์žฅ์น˜์—์„œ๊ฐ€ ์•„๋‹Œ ์šด์˜์ฒด์ œ ๋‹จ์—์„œ ์ €์žฅ์žฅ์น˜์—์„œ ์“ฐ๊ธฐ ๋ฐฉ์ง€ํ•˜๋Š” ๋ฐฉ๋ฒ•์ด๋‹ค.์–ด๋–ป๊ฒŒ ๋ณด๋ฉด ์ข‹๊ณ  ์–ด๋–ป๊ฒŒ ๋ณด๋ฉด ์Œ.... - Key : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies- Value : WriteProtect- Data : 0x00000001 (์“ฐ๊ธฐ ๋ฐฉ์ง€ ์„ค์ •), 0x00000000 (์“ฐ๊ธฐ ๋ฐฉ์ง€ ํ•ด์ œ)

article thumbnail
USB forensic
For3nsic/Forensic 2015. 11. 23. 14:10

์ตœ๊ทผ๋“ค์–ด ์ด๋™์‹ ๋””์Šคํฌ ์ฆ‰, USB์˜ ์‚ฌ์šฉ์ด ๋งŽ์•„์ง€๊ณ  ์žˆ๋‹ค. ๋˜ํ•œ ์•ž์œผ๋กœ๋„ ๋Š˜์–ด๋‚  ๊ฒƒ ๊ฐ™์€? ๋Š๋‚Œ์ด ๋“ค๊ณ  ์ด๋ฅผ ์•…์„ฑ์ฝ”๋“œ ์œ ํฌ ๋˜๋Š” ์ž๋ฃŒ ์œ ํฌ ๋“ฑ์œผ๋กœ ๋งŽ์ด ์ด์šฉ ๋˜๊ณ  ์žˆ๋‹ค. ๊ณผ์—ฐ usb๋Š” ์–ด๋–ป๊ฒŒ ์ธ์‹์ด ๋˜๊ณ  ์–ด๋–ป๊ฒŒ ์‚ฌ์šฉ๋ ๊นŒ? ๋จผ์ € usb๋ฅผ ๊ฝ‚์•˜์„ ๋•Œ Bus Driver๋ผ๋Š” ๊ณณ์—์„œ PnP Manager์—๊ฒŒ ์ œ์กฐ์‚ฌ์™€ device์˜ ์ผ๋ จ ๋ฒˆํ˜ธ๋ฅผ ๋ณด๋‚ด์–ด ์—ฐ๊ฒฐ์ด ๋˜์—ˆ์Œ์„ ์•Œ๋ฆฐ๋‹ค.๊ทธ ํ›„ ์ปค๋„๋ชจ๋“œ PnP Manager๋Š” ๋ ˆ์ง€์ŠคํŠธ๋ฆฌ๋ฅผ ๊ธฐ๋ฐ˜์œผ๋กœ ๋“œ๋ผ์ด๋ฒ„๊ฐ€ ์„ค์น˜๋˜์–ด์žˆ๋Š”์ง€๋ฅผ ํ™•์ธํ•œ๋‹ค.๋งŒ์•ฝ ์„ค์น˜๊ฐ€ ๋˜์–ด ์žˆ์ง€ ์•Š๋‹ค๋ฉด ์ปค๋„๋ชจ๋“œ PnP Manager๋Š” ์œ ์ €๋ชจ๋“œ PnP Manager์—๊ฒŒ ๋“œ๋ผ์ด๋ฒ„์˜ ๊ด€๋ จ ์ƒํ•ญ์„ ์ „๋‹ฌ ํ•œ๋‹ค. ์„ค์น˜๊ฐ€ ๋˜์–ด ์žˆ๋‹ค๋ฉด ๋“œ๋ผ์ด๋ฒ„๋ฅผ ๋กœ๋“œํ•œ๋‹ค.์œ„์˜ ๊ณผ์ •์„ ๋งˆ์น˜๋ฉด ๋ ˆ์ง€์ŠคํŠธ๋ฆฌ์— ๊ธฐ๋ก์„ํ•˜๊ณ  ์„ค์น˜๊ณผ์ •์„ SetupAPI ๋กœ๊ทธ..

article thumbnail
volatility ์‚ฌ์šฉ๋ฒ• 3

printkey ์ด ๋ช…๋ น์–ด๋Š” ๋ ˆ์ง€์ŠคํŠธ๋ฆฌ ํ‚ค๊ฐ’์„ ๋ณด์—ฌ์ค€๋‹ค. netscan์ด ๋ช…๋ น์–ด๋Š” ํ™œ์„ฑํ™”๋œ ๋„คํŠธ์›Œํฌ ์ •๋ณด๋ฅผ ์•Œ๋ ค์ค€๋‹ค.(windows 7์—์„œ๋งŒ ์‚ฌ์šฉ๊ฐ€๋Šฅ) connections๋ช…๋ น์–ด๋ฅผ ์ด์šฉํ•˜์—ฌ ๋„คํŠธ์›Œํฌ๋ฅผ ๊ฒ€์‚ฌํ•œ๋‹ค.์—ฌ๊ธฐ์„œ ๋” ์ž์„ธํžˆ ์•Œ๊ธฐ์œ„ํ•ด ๋ฐ‘์˜ ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•œ๋‹ค. connscan ์ด ๋ช…๋ น์–ด๋Š” ์œ„์˜ ๋ช…๋ น์–ด์™€ ๊ฐ™์ง€๋งŒ ์ด๋ฏธ ๋Š์–ด์ง„ ๋„คํŠธ์›Œํฌ๋„ ๋‚˜ํƒ€๋‚ด ์ค€๋‹ค. ] yarascan์ด๋ช…๋ น์–ด๋Š” yara๋ฅผ ์ด์šฉํ•˜์—ฌ ์œ ๋‹ˆ์ฝ”๋“œ ๋“ฑ์„ ๊ฒ€์ƒ‰ํ•˜์—ฌ ์ค€๋‹ค.

article thumbnail
volatility ์‚ฌ์šฉ๋ฒ• 2

kpcrscan์ด๋Š” Finding Object Roots in Vista ์— ๋ฌ˜์‚ฌ๋œ ๊ฒƒ์ฒ˜๋Ÿผ ์ž์ฒด์ฐธ์กฐ ๋ฉค๋ฒ„๋“ค์„ ์ฒดํฌํ•จ์œผ๋กœ์จ ์ž ์žฌ์  KPCR ๊ตฌ์กฐ๋“ค์„ ์Šค์บ”ํ•˜๊ธฐ ์œ„ํ•˜์—ฌ ์‚ฌ์šฉ๋˜๋Š” ๋ช…๋ น์–ด์ด๋‹ค.IDT ์™€ GDT ์ฃผ์†Œ, current,idle, ๊ทธ๋ฆฌ๊ณ  ๋‹ค์Œ ์“ฐ๋ ˆ๋“œ๋“ค, CPU ์ˆซ์ž, ๋ฒค๋”&์†๋„, ๊ทธ๋ฆฌ๊ณ  CR3 ๊ฐ’๋“ค์„ ํฌํ•จํ•˜๋Š” ๊ฐ๊ฐ์˜ ํ”„๋กœ์„ธ์„œ์— ๋Œ€ํ•œ ์ž์„ธํ•œ ์„ธ๋ถ€ ์ •๋ณด๋“ค์— ๋Œ€ํ•ด ์•Œ์•„๋ณด๊ธฐ ์œ„ํ•ด ์‚ฌ์šฉํ•œ๋‹ค. ๋˜ํ•œ ์ด๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•˜๊ธฐ ์œ„ํ•ด profile์ด๋ž€ ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•ด์•ผํ•˜๋Š”๋ฐ. profile ์€ imageinfo๋ช…๋ น์–ด๋ฅผ ์ด์šฉํ•˜์—ฌ ์•Œ์ˆ˜์žˆ๋‹ค. pslist์ด ๋ช…๋ น์–ด๋Š” ์‹œ์Šคํ…œ์˜ ํ”„๋กœ์„ธ์Šค๋“ค์„ ๋ณด์—ฌ์ค€๋‹ค. PsActiveProcessHead ๋ฅผ ๊ฐ€๋ฆฌํ‚ค๋Š” ์ด์ค‘์—ฐ๊ฒฐ๋ฆฌ์ŠคํŠธ๋ฅผ ์ง€๋‚˜๊ฐ€๋ฉฐ ์˜คํ”„์…‹, ํ”„๋กœ์„ธ์Šค ์ด๋ฆ„, ํ”„๋กœ์„ธ์Šค ID, ๋ถ€๋ชจ ํ”„๋กœ์„ธ์Šค ID..

728x90
๋ฐ˜์‘ํ˜•
profile on loading

Loading...