-o-k's story

1. 메모리 분석 - 메모리란? 시스템의 단기 데이터 스토리지, 램이나 하드 드라이브를 말한다. - 메모리에서만 찾을 수 있는 정보를 분석하는 것이다. 복호화된 파일 콘텐츠, 사용자 패스워드, 프로세스의 임시 저장 데이터 등이 있다. - 침해사고대응이나 컴퓨터 포렌식에서 메모리 분석의 역할이 커지고 있다. 하드 드라이브에 바이러스를 저장하지 않고 바로 메모리에 로드되는 악성프로그램을 추적하고, 사용자 보호 기능 강화로 인한 복호화의 어려움이 있기 때문에 사용한다. 2. 메모리 분석의 필요성 - 프라이버시 모드: 웹 브라우저의 프라이버시 모드는 사용자의 정보가 남을 수 있는 파일들이 하드 드라이브에 기록되지 않는다. - 안티포렌식: 과거의 안티포렌식 도구들은 파일의 콘텐츠를 숨기고 삭제하였다. - 루티킷:..

1. Registry 윈도우에서 모든 시스템 정보가 저장되는 계층형 데이터베이스(DB) 부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자 행위 등 윈도우 시스템에서 수행되는 모든 활동에 참여한다. 시스템 환경 설정 값과 시스템/애플리케이션 정보를 보관한다. 2. Registry 요소 1) Key(키): 폴더 - Root Key: 최상위 폴더 - Sub Key: 하위 폴더 2) Value(이름): 폴더 내 정보 3) Data(데이터) 윈도우 레지스트리 편집키: Window 키 + R => regedit 하이브 (Hive): 키의 트리 구조 작은 레지스트리 데이터 구조체들의 집합 혹은 서브셋 HKLM과 HKU는 독자적인 정보를 갖는 Master Key, 나머지는 루트키의 서브셋(derived..

1. 라이브 포렌식 - 실제 작동 중인 컴퓨터에서 증거 추출한다. - 기존에 단순히 플러그 뽑아서 전원을 차단하였지만, 많은 위험을 내포한다. 증거물의 훼손이나 변경이 생길 수 있어 법적 증거력이 상실된다. - 그래서 라이브 포렌식 도구를 이용한다. 2. 라이브포렌식 대상 - 현재 실행 중인 프로세스 - 실행된 콘솔 명령어 - 암호화되지 않은 비밀번호나 데이터 - 메신저 내용 - IP 주소 등 네트워크 정보 - 침해 즉시 메모리에 상주하는 악성코드 - 메모리 - 열려있는 파일, 임시파일의 목록 3. 휘발성 정보 수집 1) 네트워크 연결 정보 방화벽 로그를 우선적으로 분석한다. 장기간에 걸친 연결 정보를 보관한다. 도구 - Netstat -nao: 현재 사용 중인 네트워크 정보 - Ipconfig: 로컬 ..

0. 하드디스크의 구조 하드디스크의 물리적인 구조 - Sector: 하드디스크의 물리적인 최소 단위(512 bytes = 1 sector) - Track: 섹터 단위의 모음, 원심 전체를 말한다. - Track sector: 같은 구역에 있는 sector의 집합 - Cluster: sector 단위를 묶어 데이터의 입출력 단위를 정한다. 기본단위는 4,096 bytes로 8 sector이다. 1. FAT 파일시스템 FAT 파일 시스템의 4개의 영역 1. BPB: BIOS Parameter Block의 머리글자이며 흔히 boot sector 혹은 boot record라고 한다. BPB안에 FAT에 대한 세부 정보가 들어 있으므로 이 정보를 가지고 다른 영역의 위치를 찾아낼 수 있다. 2. FAT: File..

1. 파일 시스템 - 필요성: 저장 매체의 용량이 증가하면서 저장되는 파일의 수도 증가하였다. 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약이 필요하다. - 정의: 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식으로, 사용자에게 파일과 디렉토리를 계층 구조로 데이터를 저장하도록 한다. 1.1 디지털 데이터 - 디지털 데이터는 이진수를 사용한다. - 이진수는 0과 1로 표현되며, 비트(bit)라고 한다. 많은 경우, 최소단위로 1byte(=8bit)를 사용한다. - 메모리, 저장장치, 네트워크 통신 등 모든 디지털 시스템에서 이진수를 사용하여 데이터를 저장하고 처리한다. 1) 물리적 단위 실제 물리적 장치(메모리 등)에서 사용되며, 최근에 저..

1. python 2.7.14(64bit) 2. pycrypto-2.6 3. Distorm3-3.3.4 win-amd64 4. pillow pip install Pillow 5. yara-python-2.0 6. Volatility-2.6 www.volatilityfoundation.org/26 Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org 다운받아서 압축풀기 C:\python27\Lib\site-packages\ 아래에 압축한 폴더 넣기(volatility-2.6) 7. 실행하기 C:\python27\Lib\site-packages\volatility-2.6..

0. Rekall ? 사고 대응자 및 포렌식 분석가에게 엔드 투 엔드 솔루션을 제공 최첨단 수집 도구에서 가장 진보된 오픈 소스 메모리 분석 프레임 워크 정의 GRR(Google Rapid Response) 원격 포렌식과 관련한 프로젝트에서 메모리 분석을 담당하고 있는 도구이다. volatility를 기반으로 메모리 포렌식을 위한 오픈소스 도구로 대표적으로 CLI 기반 도구이다. 메모리 분석에 대한 Rekall의 접근 방식은 독특하다. Rekall은 운영 체제 공급 업체가 제공하는 정확한 디버깅 정보를 활용하여 중요한 커널 데이터 구조를 정확하게 찾는다. 특징 - 자동으로 프로파일 정보를 검색 - GRR은 구글에서 사고 대응을 위해 라이브 포렌식에 포커스를 맞춰 제작된 프레임 워크이다. 클라이언트와 서버..