Information Security ˗ˋˏ ♡ ˎˊ˗
반응형

디지털포렌식 4

[MemoryForensic] 메모리 분석

1. 메모리 분석 - 메모리란? 시스템의 단기 데이터 스토리지, 램이나 하드 드라이브를 말한다. - 메모리에서만 찾을 수 있는 정보를 분석하는 것이다. 복호화된 파일 콘텐츠, 사용자 패스워드, 프로세스의 임시 저장 데이터 등이 있다. - 침해사고대응이나 컴퓨터 포렌식에서 메모리 분석의 역할이 커지고 있다. 하드 드라이브에 바이러스를 저장하지 않고 바로 메모리에 로드되는 악성프로그램을 추적하고, 사용자 보호 기능 강화로 인한 복호화의 어려움이 있기 때문에 사용한다. 2. 메모리 분석의 필요성 - 프라이버시 모드: 웹 브라우저의 프라이버시 모드는 사용자의 정보가 남을 수 있는 파일들이 하드 드라이브에 기록되지 않는다. - 안티포렌식: 과거의 안티포렌식 도구들은 파일의 콘텐츠를 숨기고 삭제하였다. - 루티킷:..

[LiveForensic] 라이브포렌식에 대해(휘발성 정보 수집)

1. 라이브 포렌식 - 실제 작동 중인 컴퓨터에서 증거 추출한다. - 기존에 단순히 플러그 뽑아서 전원을 차단하였지만, 많은 위험을 내포한다. 증거물의 훼손이나 변경이 생길 수 있어 법적 증거력이 상실된다. - 그래서 라이브 포렌식 도구를 이용한다. 2. 라이브포렌식 대상 - 현재 실행 중인 프로세스 - 실행된 콘솔 명령어 - 암호화되지 않은 비밀번호나 데이터 - 메신저 내용 - IP 주소 등 네트워크 정보 - 침해 즉시 메모리에 상주하는 악성코드 - 메모리 - 열려있는 파일, 임시파일의 목록 3. 휘발성 정보 수집 1) 네트워크 연결 정보 방화벽 로그를 우선적으로 분석한다. 장기간에 걸친 연결 정보를 보관한다. 도구 - Netstat -nao: 현재 사용 중인 네트워크 정보 - Ipconfig: 로컬 ..

[DigitalForensic] FAT 파일 시스템 (with FTK Imager)

0. 하드디스크의 구조 하드디스크의 물리적인 구조 - Sector: 하드디스크의 물리적인 최소 단위(512 bytes = 1 sector) - Track: 섹터 단위의 모음, 원심 전체를 말한다. - Track sector: 같은 구역에 있는 sector의 집합 - Cluster: sector 단위를 묶어 데이터의 입출력 단위를 정한다. 기본단위는 4,096 bytes로 8 sector이다. 1. FAT 파일시스템 FAT 파일 시스템의 4개의 영역 1. BPB: BIOS Parameter Block의 머리글자이며 흔히 boot sector 혹은 boot record라고 한다. BPB안에 FAT에 대한 세부 정보가 들어 있으므로 이 정보를 가지고 다른 영역의 위치를 찾아낼 수 있다. 2. FAT: File..

[DigitalForensic] 파일 시스템(FileSystem)

1. 파일 시스템 - 필요성: 저장 매체의 용량이 증가하면서 저장되는 파일의 수도 증가하였다. 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약이 필요하다. - 정의: 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식으로, 사용자에게 파일과 디렉토리를 계층 구조로 데이터를 저장하도록 한다. 1.1 디지털 데이터 - 디지털 데이터는 이진수를 사용한다. - 이진수는 0과 1로 표현되며, 비트(bit)라고 한다. 많은 경우, 최소단위로 1byte(=8bit)를 사용한다. - 메모리, 저장장치, 네트워크 통신 등 모든 디지털 시스템에서 이진수를 사용하여 데이터를 저장하고 처리한다. 1) 물리적 단위 실제 물리적 장치(메모리 등)에서 사용되며, 최근에 저..

반응형