본문 바로가기

디지털 포렌식(Digital Forensics)51

11장 리눅스 시스템 조사 리눅스 시스템은 유닉스를 기반으로 개발된 운영제체다. 오픈 소스 소프트웨어로써 다중 사용자를 지원하고, 멀티 태스킹 기능을 제공하는 등의 특징을 갖고 있다. Ubuntu, Redora, Debian 등의 다양한 리눅스 배포판이 있다. 1. 리눅스는 명령어 기반 시스템이다. 즉, 모든 입출력은 문자를 기반으로 수행된다는 것인데, 이는 운영체제의 핵심인 커널이 명령어 기반의 입출력을 하도록 작성되어 있기 때문이다. 2. 디렉토리가 있다. 리눅스는 윈도우와 달리 드라이브 문자가 존재하지 않으며, 필요한 파일시스템을 마운트하여 사용한다. 디렉토리는 절대경로와 상대경로로 표시할 수 있으며, 내용은 다음과 같다. 경로 내용 . 현재 디렉토리 (상대경로) .. 상위 디렉토리 (상대경로) / (루트 디렉토리) 최상위 .. 2020. 9. 16.
[Multimedia] Find Key(butterfly) 오랜만에 멀티미디어 문제를 풀어볼 것이다. 이번 문제는 간단하니 열 식힐 겸 풀어보도록 하자! 문제 설명은 하나도 없이 나비.png 파일만 하나 주어진다. 열어보면 정말 꼴과 나비 사진 하나 나와있다. HxD로 열어보아도 굳이 도움될 만한 건덕지는 찾지 못했다. 29a.ch/photo-forensics/#pca29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extract.. 2020. 9. 14.
[Memory] GrrCON 2015 #7 문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.' 라고 되어있는데, 이는 멀웨어 뮤텍스(Malware Mutex) 라고도 한다. cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects Malware: Exploring mutex objects A mutex, also called a lock is a program object commonly used to avoid simultaneous access to a resource, such a variable. It’s used in concurrent programming to allow multiple program th.. 2020. 9. 14.
10장 윈도우 시스템 조사 레지스트리 레지스트리 (Registry) 윈도우 운영체제와 응용프로그램 구도에 필요한 정보를 저장하는 계층형 데이터베이스 부팅과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 거의 모든 활동에 관여 특히, 원격접속흔적, 네트워크 연결흔적, 저장매체 사용흔적 등을 정보를 추가적으로 찾을 수 있음 하이브 (Hive) 최상위 폴더에 해당되는 부분 – 루트키 하위 폴더에 해당 되는 부분 – 서브키 각 키마다 파일에 해당되는 값 – 값 (Value) 하이브 파일 : 레지스트리의 물리적인 파일들 대표적인 파일: SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT, USRCLASS.DAT, BCD, COMPONENTS 위 파일들이 하나의 세트를 구성하여 윈도우 레지스트리가 .. 2020. 9. 10.
[Network] DefCoN#21 #8 오늘은 DefCoN#21 #8 문제를 풀어보도록 한다! 그레고리를 죽인 사람을 찾는 게 이번 문제다. 와이어샤크를 이용해 파일을 열어준다. 내용을 쭉 확인하다보면 어느순간부터 RTP 프로토콜을 이용한 내용들만 보이기 시작한다. RTP 프로토콜은 Real-time Transport Protocol의 약자로, 실시간 전송 프로토콜을 의미한다. IP 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이라고 할 수 있다. 전화, TV, 화상 통화 등의 스트리밍 수반 통신을 할 때 사용되는 프로토콜이다. RTP Streams는 상단의 Telephony -> RTP -> RTP Streams를 통해 볼 수 있다. RTP Streams를 키면 위와 같은 화면이 나온다. 모든 항목을 클릭해서 선택해준 뒤, .. 2020. 8. 29.
[Memory] GrrCon 2015 #6 이번 문제는 비밀번호를 찾는 문제다. vmss 파일을 덤프파일을 만들어서 내용을 확인해보려고 한다. memdump 명령어를 이용해서 메모리 덤프를 떠주었다. strings.exe를 통해 dmp 파일을 보기에 편리한 txt 파일로 변환해 주었다. 이전 문제에서 찾았던 MrRobot 의 실행후에 비밀번호 입력을 했을 것이기 때문에 MrRobot 아래에서 내용을 확인해보았다. 비밀번호 형식으로 대소문자영문으로 되어있는 것을 찾아보면 Xtreme과 GrrCon2015가 나온다. 여기에서 Xtrem은 악성코드의 이름이기 때문에 GrrCon2015를 입력해보도록 한다. 정답은 GrrCon2015 2020. 8. 24.

티스토리툴바