forensic24

• GPT(GUID Partition Table)에서의 MFT는 과연? 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 내용 최근에 이것저것 하다가 한가지 의문점이 생겼다. 자동화를 만들고 있는데 NTFS파일 시스템의 경우 MFT(master file table)을 손쉽게 수집을 할수있었다. 그런데 어느 시스템에서는 잘되는데 어느 시스템에서는 수집이 잘안되어서 궁금증이 생겼었다. 그래서 이것저것 찾다가 GPT(GUID Partition Table)의 경우 수집이 잘안되는 것같았다. 원인이 과연 이것일까 생각하면서 확인을 해.. For3nsic/Forensic 2023. 3. 24.

• 

  CTF forensic(Recovering From the Snap) 문제 요즘 일이 많아서 CTF(Capture The Flag)에 참여하지 못한지 오래된 듯하다... 그래서 혼자 문제들 뭐있나 보다가 ...forensic(file carving)이라는 문제를 보고 오오오오오오!!!!!!!!!!!이거다!!! 라고 생각해서 풀어보았다.. 문제가 생각보다 쉽게 풀렸고 풀이도 여러가지 방법으로 풀어보았다. 점수는 150점이였는데!!! 문제는 There used to be a bunch of animals here, what did Dr. Xernon do to them? 이거였다.한번 풀어보자 첫번째 방법은 foremost를 이용하여 푸는 방법이다.animals.dd 이미지가 주어진다. file 명령어를 이용하여 file animals.dd를 해보면 DOS/MBR boot sect.. Wargame/CTF(Capture The Flag) 2019. 1. 1.

• 

  디지털 포렌식의 사고대응 및 증거처리 짜쟌~!! 디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.1. 준비 - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다. - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.2. 탐지 - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들 중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.3. 분석 - 이 때부터 본격적으로.. For3nsic/Forensic 2018. 11. 29.

• 

  홀리쉴드 2016? forensic memory :) 어쩌다 보니 찾게 된문제!!! 풀어보자 !! 근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server 이렇게 란다.시작하자 !! 크와아아앙 나와라 ! volatility!!!! 먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후 pslist명령어를 통해 프로세스 리스트를 확인 해보았다. 보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.바로 구글로 달려.. Wargame/CTF(Capture The Flag) 2017. 1. 11.

• 

  메모리 포렌식에서 volatility 를 사용하면서 ... :) 메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다. 의문이라기 보단 잘 보지 않아 생긴 문제이지만 ... 먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........ 두둥 !!! BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.그래서 명령어를 통해서 알아 봤다. 어떻게? dlllist | grep xpsp2 For3nsic/The Art of Memory Forensic 2017. 1. 10.

• 

  RC3CTF_300_Breaking News 300 - Breaking NewsWe just received this transmission from our news correspondents. We need to find out what they are telling us.file 문제인데 문제의 파일을 받아보면 알집으로 파일을 하나 주고 그것을 풀면 이제 우리가 풀어야 하는 문제 파일들이 나온다. 먼저 헥스로 파일을 확인 해보면 별 특이한 것이 없는 것같다 하나 하나 보던 도중 마지막에 base64로 디코딩이 되어 있는 것 같은 문자열을 발견하고 하나하나 파일에서 그러한 글자만 모아보았다. 총 나온 파일은 5개 chapter 4, 9, 10, 15, 18 이렇게 나왔다. 이제 base 64 decoding 을 해보자 base 64 디코딩을 하니.. Wargame/CTF(Capture The Flag) 2016. 12. 16.

• 디스크 / 파일시스템 - 디스크 비교적 단순한 구조를 가지고 있다. 그러나 만약 외부 업체에 의뢰를 한다면 정보 유출이 되므로 주의 해야하는 단점이 있다.디스크를 분석 할때는 증거 저장용 디스크를 Master로 설정하여 분석 대상 디스크를 slave로 지정하여 부팅을 master로 한다.이유는 증거용 디스크에 영향을 주지 않기 위해서 이다. 디스크 분석 - 반드시 원본을 복제한 복사본을 가지고 분석을 한다. - 읽기 전용으로 설정한 후 분석한다. - 복제 디스크는 원본 디스크랑 용량을 같게한다. (같은게 없다면 크게) 디스크 복제 - H/W 적인 방법 : 장비를 이용, 사용이 간편하고 속도가 빠르지만 가격이 비싸다. 또한 라이브 시스템에서 수행이 불가능하다. - S/W 적인 방법 : 라이브 한 시스템에서 그대로 디스크 복사 .. For3nsic/Forensic 2015. 12. 22.

• 

  Forensic TimeLine 타임라인이 무엇일까? 타임라인은 사전의미로는 연대표, 시각표 이러한 의미를 들고있다.또는 비디오 클립이나 오디오 클립을 순서대로 배치하는 편집 프로그램 작업 공간. 타임라인은 레이어와 프레임으로 구성되어 있는데, 레이어의 결합을 통해 화면의 이미지나 오디오를 배치함으로써 움직이는 애니메이션이나 음악을 만드는 기능이다.- 네이버 용어사전 - 그러나 사전을 생각하지 말고 있더라도 주위에 음악을 하는 사람이나 비슷한 일을 하는 사람들을 보면 타임라인이라는 단어를 많이 사용한다.이처럼 컴퓨터를 분석할때 또한 타임라인이 사용되는데 어떠한 동작을 했는지 시간을 남겨준다. 차이가 있을 수 있지만 이러한 의미를 가진다. 이러한 기능을 어디서 할수 있을까?타임라인 기능은 인케이스에 있는 기능이라고 안다. 인케이스 7.x.. For3nsic/Forensic 2015. 12. 14.

• USB 자체가 아닌 운영체제 단에서 저장장치에서 쓰기 방지하기 제목 그자체로 저장장치에서가 아닌 운영체제 단에서 저장장치에서 쓰기 방지하는 방법이다.어떻게 보면 좋고 어떻게 보면 음.... - Key : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies- Value : WriteProtect- Data : 0x00000001 (쓰기 방지 설정), 0x00000000 (쓰기 방지 해제) For3nsic/Forensic 2015. 11. 23.

• 

  USB forensic 최근들어 이동식 디스크 즉, USB의 사용이 많아지고 있다. 또한 앞으로도 늘어날 것 같은? 느낌이 들고 이를 악성코드 유포 또는 자료 유포 등으로 많이 이용 되고 있다. 과연 usb는 어떻게 인식이 되고 어떻게 사용될까? 먼저 usb를 꽂았을 때 Bus Driver라는 곳에서 PnP Manager에게 제조사와 device의 일련 번호를 보내어 연결이 되었음을 알린다.그 후 커널모드 PnP Manager는 레지스트리를 기반으로 드라이버가 설치되어있는지를 확인한다.만약 설치가 되어 있지 않다면 커널모드 PnP Manager는 유저모드 PnP Manager에게 드라이버의 관련 상항을 전달 한다. 설치가 되어 있다면 드라이버를 로드한다.위의 과정을 마치면 레지스트리에 기록을하고 설치과정을 SetupAPI 로그.. For3nsic/Forensic 2015. 11. 23.

• 

  volatility 사용법 3 printkey 이 명령어는 레지스트리 키값을 보여준다. netscan이 명령어는 활성화된 네트워크 정보를 알려준다.(windows 7에서만 사용가능) connections명령어를 이용하여 네트워크를 검사한다.여기서 더 자세히 알기위해 밑의 명령어를 사용한다. connscan 이 명령어는 위의 명령어와 같지만 이미 끊어진 네트워크도 나타내 준다. ] yarascan이명령어는 yara를 이용하여 유니코드 등을 검색하여 준다. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  volatility 사용법 2 kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다. pslist이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID.. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  Volatility 사용법 Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저 -h 옵션을 줌으로 명령어 들을 볼수 있다. 또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindowns Mac \ Windows 와 Mac이랑 명령어가 비슷한 거 같다. 이하 Mac으로만 하겠슴... 여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다. imageinfo명령어는 다른 플러그인을 사용할 때 --profile=PROFILE----을 파라미터로 해야하는 제안된 프로파일을 알려주는 명령어이다.명령어를 사용하기위해 파일을 넣어야하는데... 명령어 사용방법은 vol.py -f For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  FTK Imager 알아보기 2 FTK Imager에서 메모리 캡쳐 하기 FTK Imager기능 중에서 메모리 캡쳐기능이있다.먼저 메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다. 경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다. 이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다. 윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다. 메뉴바에서 표시된 것을 클릭하면 이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.선택항목은 암호를 복구할 것인지 전체 레.. For3nsic/Forensic 2015. 11. 17.

• 

  FTK Imager알아보기 1 FTK를 이용하여 증거물 추가와 미리보기 기능을 알아보자메뉴바에서 File -> Add Evidence Item을 클릭하면 이러한 창이 나온다.그후 다음을 클릭하면 이러한 창이나오는 이창은 하드 디스크를 지정하는 창이다. USB같은 것이 연결 되어있을 경우 지정 가능하다. FINISH를 누르면 나오는 창이다. 그리고 옆에 보면 Evidence Tree 창에 증거물이 출력된다. 다음은 포렌식을 하기위한 이미지 생성을 알아보자! 이는 메뉴바에 보면 디스크 모양이 있는 것을 확인할수 있다. 디스크 모양을 클릭하여 이미지를 만들수있다. 클릭을 하면 이러한 창이 뜨는 것을 확인 할수있는데 Raw, SMART, E01, AFF가 이미지 타입으로 FTK에서 지원한다. 타입을 선택하고 다음을 누르게 되면 이러한 창을 .. For3nsic/Forensic 2015. 11. 17.

• 데이터 저장 매체 포렌식에서 중요한 증거를 수집할려면 증거가 어디에 저장되어 있고 저장될 수 있는 곳을 생각해야 한다. 데이터 저장 매체를 보면 하드디스크를 제외한 많은 곳에 데이터를 저장할수 있다.- 자기 미디어 - 플로피 디스크 - 하드 드라이브 - USB/PC카드 - ZIP이나 테이프 드라이브- 광학 미디어 - CD - DVD- 대체 미디어 - MP3 플레이어 - 태블릿 - 스마트 폰 - 비디오 게임, TV 등 For3nsic/Forensic 2015. 11. 17.

• 

  Chrome Forensic 이번엔 포렌식 중에 웹을 이용한 포렌식을 볼껀데...툴이름은 Chromeforensic이라는 툴입니다.실행을 시키면 이러한 GUI환경이 나오는 걸 볼수있습니다. 웹캐시 등을 받아올 폴더를 지정해야하는데 기본적으로 크롬 같은경우에는 아래의 절대경로를 이용합니다. C:\Users\사용자\AppData\Local\Google\Chrome\User Data\Default여기서 확인을 하면 이렇게 이미지도 띄어주는 것을 볼수있다. 이뿐만아니라 키워드 등을 검색하여 보기 편하게 쉽게 나온다.포렌식 중에서 웹 또한 매우 중요하다.이러한 툴을 알고 있으면 좋을 듯하다. For3nsic/Forensic 2015. 11. 16.

• 포렌식 기초 포렌식 증거처리 절차전에 앞에서 말한 바가 있다. 만약 포렌식을 한다고 말하고 다니는데 증거처리 절차 모르거나 한다면... 부끄럽다그래서 한번 더 강조한다. 왜냐? 중요하니깐.사전 준비 단계 -> 증거 수집 단계 -> 증거 이송 단계 -> 증거 분석 단계 -> 정밀 검토 단계 -> 결과 문서화 단계 이러한 순으로 된다!!! 사전 준비 단계증거 수집 단계증거 이송 단계*증거 분석 단계증거물 복제할 때에는 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 해야 한다.또한 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야한다. *무결성* 매우중요한거다. 증거에 번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.증거물복제는 원본의 장치와 동일한 것에서 이루어지는 것이 .. For3nsic/Forensic 2015. 11. 11.

• 디지털 포렌식이란? 디지털 포렌식이란 무엇일까? 포렌식 -> 법의학컴퓨터 미디어에 전자적으로 저장된 데이터를 취득,보존,복구,제출하는 것과 관련된 방법론이다.또한 경찰과 검찰이 쓰는 수사 기법중 하나이다.즉, 디지털 기기에서 많은 정보를 찾거나 복구하는 일이다. 다만 중요한점은 포렌식이 법의학처럼 법정에서 사용될수 있다는 것이다. 포렌식의 종류에는 여러가지가 존재한다.컴퓨터 포렌식, 모바일 포렌식, 임베디드 포렌식, 네트워크 포렌식 등등 포렌식 적용 분야1 - 사이버 범죄 및 지능 범죄2 - 일반 및 강력 범죄3 - 인터넷 침해사고 조사4 - 사용자의 부정이나 범죄 행위에 대한 조사 For3nsic/Forensic 2015. 11. 10.

• 휘발성 순서 And 포렌식 수집할 증거의 우선 순위를 정하는 것이 좋다.그러나 휘발성이 강한 것부터 수집하는 것이 좋을 듯하다. 휘발성 순서1 - CPU, 캐시 및 레지스터 데이터2 - 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계3 - 메모리4 - 임시 파일 시스템 / 스웝 공간5 - 하드 디스크에 있는 데이터6 - 원격에 있는 로그 데이터7 - 아카이브 매체에 있는 데이터 RAM에 있는 증거휘발성 메모리(RAM)에는 현재 실행 중인 프로세스, 실행된 콘솔 명령어, 암호화되지 않은 비밀번호, 암호화되지 않은 데이터, 메신저 내용, IP주소, 악성코드 등 중요한 증거가 저장되어 있을수 있다. For3nsic/The Art of Memory Forensic 2015. 11. 10.

• 

  파티셔닝과 디스크레이아웃 등 파티셔닝과 디스크 레이아웃 오늘날 가장 많이 사용하는 두 가지 주요 파티셔닝 방식은 MBR(Master Boot Record) 방식과 GUID Partition Table(GPT)이다. MBR 파티셔닝 기법은 기본적으로 오직 네 개의 프라이머리 파티션과 최대 2테라바이트 크기의 디스크만 지원한다. GPT 형식은 8 제타바이트 크기의 디스크까지 지원하며 128개의 프라이머리 파티션을 만들수 있다. 파티션 식별 및 복구삭제되거나 사라진 파티션을 식별할 때는 앞에서 언급한 sigfind 명령을 사용할 수 있다. 이 도구는 파티션 테이블이나 파일 시스템 헤더의 숨길 수 없는 흔적을 찾아주는 사전 정의된 여러 데이터 구조 템플레이트를 가지고 있다. RAIDRedundant Array of Inexpensive D.. For3nsic/Forensic 2015. 11. 10.

• 포렌식을 더깊게... 포렌식 분석의 목적 - 진실을 찾고 그것을 통해 사건의 진실을 재현하는 것 이미지 다루기 - ImDisk -> NTFS 볼륨 이미지 마운팅파일 시스템 다루기 - Ext2FsdMac OS - HFS Explorer -> 일부 CD/DVD와 DMG 컨테이너 포함 HFS와 HFS+ 파일 시스템을 읽을 수 있는 프로그램이다. 디스크와 파일 시스템 분석포렌식 분석은 매체에 있는 파일을 다루는 것이다. 식별은 볼륨에서 어느 활성 파일과 삭제된 파일을 수집할 수 있는지 결정하는 것이고, 추출은 관련 파일의 데이터와 파일의 메타데이터를 수집하는 것이며, 분석은 우리가 알고 있는 정보를 데이터 셋에 적용하고 궁극적으로는 의미 있는 결과를 도출하는 과정이다. 파일 시스템 추상화 모델 - 디스크 : 물리적 저장장치로 간주 .. For3nsic/Forensic 2015. 11. 10.

• 

  파티션 테이블 확인하는 방법 이건 저의 실제 쓰는 하드를 뜬건데요 보면 0000001b0을 보면 마지막에 80 20 이 보이는 것을 확인 할수 있다. 그전에 00 00 은 널값인것을 알수 있고 그전에 4바이트는 디스크 서명 구역인것을 알수 있다. 80 20 부터 파티션부분이 시작 되는 것이다. 80 나타내는 것은 Boot Flog 즉, 부팅에 사용하는 것이다. 쉽게 말해서 os가 깔려있는 것이다. 만약 00이라면 부팅에 사용하지 않는 것이다. 노란색 부분이 하나의 엔트리로 16byte 한 파티션을 나타내는 것이다. 이렇게 순서를 보면 첫번째, 두번째, 세번째 파티션들은 주파티션인 것을 확인할수 있을 것이다. 그럼 마지막의 4번째는 무엇일까? 의문이 든다. 이는 확장파티션이다.(논리 드라이브는 마지막 확장 파티션에서 연결되는 EBR에.. For3nsic/Forensic 2015. 11. 3.

• Forensic 증거분석하기 전 증거 분석하기전에 해야하는 작업으로 포렌식 절차에서 증거 PC하드디스크를 디스크 복사기에 넣고 공 하드에 섹터 그대로 옮긴 후 해당 옮겨진 데이터를 가진 증거 사본 하드디스크를 분석하기 전에 해당 하드디스크와 원본 하드디스크의 SHA 해시, md5 해시를비교해서 같은 후 Read-Only 상태로 분석을 시작해야 한다.증거 분석 방식에는 두가지 방식이 존재하는데 1) 사본 HDD를 마운트 시켜서 분석하는 방법2) 사본 HDD를 또 한번 이미지로 떠서 이미지 파일 자체로 분석하는 방법이 있다.HDD RPM 속도에 의해 속도가 달라지기 때문에 본인 HDD가 SSD(시바 속도 돋네)라면 이미지로 떠서 분석하는게 초당 평균 120MB/s로 분석이 가능하다. 가장 첫번째로 해야할 디스크 해시값 검증 But whit.. For3nsic/Forensic 2015. 10. 29.