Jsecurity

개요 - 보안 운영체제는 컴퓨터 운영체제 상에 내재된 보안상의 결함으로 발생 가능한 각종 침해로부터 시스템을 보호하기 위하여 기존의 운영체제 내의 보안 커널을 추가로 이식한 운영체제를 말한다 -보안 운영체제의 구성요소에는 보안커널과 참조모니터가 있다. 보안커널(Security Kernel) 주체, 객체간의 모든 접근과 기능을 중재하는 보안 절차를 구현한 하드웨어, 펌웨어, 소프트웨어 등을 말한다. 참조모니터(Reference Monitor) 보안커널의 가장 중요한 부분으로 주체, 객체간의 접근통제 기능을 수행하는 핵심 모듈을 말한다. 참조모니터 (reference monitor) 참조모니터는 보안 운영체제에서 주체와 객체사이의 정보 흐름을 감시하는 보안모듈로 주체와 객체의 접근권한을 정의한 보안 커널 테..

문제: 파일에서 플래그를 찾아라 ※ 문제파일 ※ 풀이 ①. 어떤 유형의 파일인지 확인하기 [root@localhost Desktop]$ file myheart_7cb6daec0c45b566b9584f98642a7123 ②. 파일명 변경하기 [root@localhost Desktop]$ mv myheart_7cb6daec0c45b566b9584f98642a7123 myheart_7cb6daec0c45b566b9584f98642a7123.xz ③. xz파일 압축 풀기 [root@localhost Desktop]$ unxz myheart_7cb6daec0c45b566b9584f98642a7123.xz 짠! 하고 압축이 풀렸다! 이거또한 파일의 종류를 알 수 없기때문에 찾아보자 파일 확장자는 패킷파일인 pcap..

네트워크 포렌식 분석 도구이다. 유닉스 환경및 윈도우에서도 실행이 가능하다. 네트워크마이너(NetworkMiner)는 패킷 캡쳐 기능을 제공하면서 사용하는 운영체제, 세션, 호스트이름, 열려있는 포트 정보등을 탐지할 수 있다. 실시간으로 탐지하는 기능뿐만아니라, PCAP 파일을 직접 읽어들일 수도 있다. 설치 URL: https://www.filecroco.com/download-networkminer/ NetworkMiner 2.3 Free Download for Windows 10, 8 and 7 - FileCroco.com NetworkMiner is a Network Forensic Analysis Tool or NFAT designed to be used as a passive network s..

#유닉스/리눅스 시스템의 로그 파일 이름과 저장되는 내용 #윈도우 시스템 이벤트 로그 #윈도우 시스템에서 이벤트 로그 실행방법 [시작] -> [제어판] -> [관리도구] -> [이밴트 뷰어] #이벤트로그의 5가지 유형 #이벤트 로그중 주요 정보 [참고자료] http://egloos.zum.com/chunhk00/v/4839399 윈도우 로그 관리 및 분석 방법 1. 로그관리의 필요성 기업 및 개인의 자산을 안전하게 보호하기 위한 최선의 방법은 주기적인 취약점 점검 및 제거와 같은 예방활동일 것이다. 하지만 보안에 있어서 "완벽한 보안은 없다" 라는 말처럼 어떠한 보안도 해킹 기술을 앞지를 수 없으며, 신규 취약점에 대한 보안패치가 발표되거나 보급되기 이전 짧은 시간내에 웜 또는 바이러스 형태로 전세계 네..

# 시스템 로그인 과정 - 사용자 계정과 패스워드를 입력하면 로그인을 담당하는 프로그램은 입력한 패스워드와 /etc/passwd 파일의 해당 필드를 비교합니다. (유닉스는 모든 과정이 별개의 프로그램으로 실행된다) - 패스워드 확인 후 로그인 프로그램은 쉘이 사용할 변수들을 근거로 초기 환경을 설정합니다. HOME, SHELL, USER, LOGNAME 변수들은 /etc/passwd 파일에 기록된 정보로 값이 설정된다. ∙ HOME 변수 : 사용자의 홈 디렉터리 지정 ∙ SHELL 변수 : 로그인 쉘 지정 ∙ USER or LOGNAME 변수 : 사용자의 사용자 계정을 지정 - 로그인 쉘(/bin/sh, /bin/csh, /bin/ksh 등)은 일반적으로 /etc/passwd 파일의 마지막 필드에 정의 ..

# 파일시스템의 정의 - 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제 - 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정 된 약속 # 파일시스템의 분류 - Disk 파일시스템 ∙ 일반적으로 HDD에 파일을 저장하기 위해 고안된 구조 ∙ 예) FAT, NTFS, HFS, HFS+, HPFS, UFS, ext2/3/4, btrfs, ISO 9660, ODS-5, ∙ Veritas File System, ZFS, ReiserFS, Linux SWAP,UDF - 플래시 파일시스템 ∙ 플래시 메모리에 저장하기 위해 고안된 구조 ∙ 플래시 메모리 특성: Erasing Block, Random Access, Wear Leveling, YAFFS, JFFS 등 #..

# MFT Attributes - 파일의 여러 정보를 저장하고 있는 Metadata - Attrubyte Header: 속성 Type, 속성의 길이, Non-Resident Falg 등 - Attribute Content: 속성의 Type에 따른 정보 저장 # 속성의 종류 # $STANDARD_INFORMATION 속성, $FILE_NAME 속성 Fixup 배열 이후에 속성 식별자로 “0x00000010” 값을 가지는 $STANDARD_INFORMATION 속성이 나온다. 다른건 다 놔두고 이어서 나오는 $FILE_NAME 속성 전에 가운데 부분을 보면 일정한 형태의 값 4개를 확인할 수 있다. (“A0 59 A7 53 FE FE C3 01”) 이것은 $STANDARD_INFORMATION 속성의 4가지..

# MFT Entry - 일반적으로 1,024bytes 크기를 가지며 그 위치는 Boot Record에 기록 - MFT Entry Header: 48Bytes - Attributes: 파일에 대한 metadata 정보 저장 # MFT 엔트리 구조 -MFT 엔트리는 다음 그림과 같은 구조를 가진다. 맨 앞부분에 48 바이트 크기의 엔트리 헤더와 Fixup 값, 그리고 해당하는 파일의 특성에 따라 여러 개의 속성을 가진다. # MFT Entry Header # MFT Entry Header Signature : "FILE" Offset to fixup array : 0x0030 Number of entries in fixup array : 0x0003 $LogFile Sequence Number (LSN) ..

# MFT (Master File Table) - 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블 - NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크기를 작게 설정하며 파일이 많아짐에 따라 Windows는 점점 MFT의 크기를 늘려간다. - 파일이나 디렉토리가 많아질수록 MFT의 크기는 점점 커지지만 한번 늘어난 MFT는 파일이 줄어든다고 해서 줄어들진 않는다. # NTFS Master file table 구조 - 메타 데이터 파일 (Meta Data File)과 일반 파일 또는 디렉터리에 대한 정보를 저장하고 있는 MFT Entry (Metadata)로 구성 # NTFS Meta Data File - NTFS 파일시스템 관리 ..

# NTFS Boot Record 구조 # NTFS 파티션 부트 섹터 - NTFS 볼륨의 포맷 프로그램은 부트 섹터에 대해 처음 16섹터를 할당한 다음 부트 스트랩 코드를 할당합니다. - NTFS 파티션의 첫 번째 섹터는 부팅 섹터 또는 볼륨 부팅 레코드 인 VBR 입니다. - 파일 시스템 유형, 크기 및 NTFS 데이터의 위치를 ​​포함합니다. - $MFT의 # 7 번 항목으로 액세스 할 수 있습니다. - 부팅 섹터는 불륨 끝에 백업됩니다. # Boot Record 구조 # Detail VBR # Boot Record 항목 [관련 PDF] https://kali-km.tistory.com/attachment/cfile25.uf@267EAD4E568E29232650BD.pdf [참고자료] https://..

NTFS (New Technology File System) - NTFS은 1993년 Microsoft사 개발자 톰 밀러, 게리 키무라, 브라이언 앤드루, 데이빗 고벨 의해 구현 - Windows NT에서 사용하기 위한 파일시스템으로 서버로 가기 위해서는 FAT는 적절치 못해서 새롭게 개발된 파일 시스템 # NTFS 버전 # NTFS 특징 데이터 복구 기능 : 모든 작업을 트랜잭션 단위로 기록하고 시스템 장애로 인한 문제 발생시 복구 암호화 : EFS(Encryption File System), NTFS 5.0 이후 지원 압축 : ZIP 형식의 LZ77 변형 압축 기술 사용 디스크 쿼터 : 디스크 사용량 제한, NTFS 5.0 이후 지원 ADS (Alternate Data Stream) : 다중 스트림으..

※ directory entry, clusters, FAT structure EX) FAT structure 실습 부트코드 점프명령어 = EB 3C 90 OEM Name = 6D 6B 64 6F 73 66 73 00 = mkdosfs Byte Per Sector = 00 02 -> 02 00 -> 512byte Sector Per Cluster = 01 01 00 -> 예약된 섹터수 00 01 -> 1개 02 -> FAT 영역의 수 2개 Root Directory Entry 개수 = 00 02 -> 02 00 -> 512개 볼륨 총 섹터수 = 00 78 -> 78 00 -> 30720개 F8 -> HDD (하드디스크 볼륨) 77 00 -> 00 77 -> FAT 섹터수 119개 Root Directory..

cmp (compare) - 두 피연산자를 비교하는 명령어 - 레지스터나 메모리의 값을 변경하지 않는다 - 플래그 레지스터에만 영향을 준다 (flag reguster - 상태 레지스터) -> SF (부호), CF (올림수), ZF (0, 두개의 비교값이 같을 때) 결과가 0인 경우 -> SF:0, CF:0, ZF: 1 결과가 음수인 경우 -> eax SF:1, CF:0, ZF:0 결과가 양수인 경우-> eax > ebx => SF:0, ZF:0, CF:0 jmp 명령어 - 조건없이 분기하는 명령어 - 제어를 전달하는데 일반적으로 사용되는 명령어 - JMP 계열 명령어들은 플래그 레지스터의 플래그를 보고 명령어 수행 조건 분기 명령어 (부호없는 데이터) 명령어 조건(CMP) 비교 Fulln..

디지털 포렌식 중에서 안티 포렌식에 관한 Tool을 기술 하려고 합니다. 안티포렌식 (Anti Forensic) 이란? 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동을 말한다. Crypture Tool의 특징 # Crypture는 1024 비트 키를 암호화하고 Windows 비트 맵 파일에 파일을 저장 # 설치가 필요없는 6KB 만 제공 (실행파일) # 모든 비트를 노이즈로 채우고 표준 스테거 분석 방법으로 건너 뜀 # 데이터 헤더는 암호화되고 분산되어 있음 Cryture.exe 속성 파일 용량이 6KB 남짓되는 크기인 스테가노그래피 Tool 악용가능성이 충분히 높아보인다. Cryture 실행 Cryture Tool 설명 비트맵(확장자: .bmp) 사진파일..

Default VLAN - 초기의 스위치의 모든 포트들에 할당되는 VLAN: ID -> VLAN1 - 모든 포트와 통신, 같은 브로드캐스트 도메인 -> VLAN 1은 제거, 변경이 불가능 -> CDP나 STP 트래픽 같은 2계층 제어 트래픽은 VLAN 1이용 데이터(Data) VLAN - 사용자가 발생한 트래픽 만을 전송하도록 설정된 VLAN -> User VLAN -> 스위치를 관리하는 트래픽을 분리하여 사용자 데이터만 전송 -> 임의로 지정하지 않으면 Default VLAN 사용 관리(Management) VLAN - 스위치 관리 기능에 접근하는 수단으로 정의 - Cisco 스위치는 기본으로 VLAN 1이 매니지먼트 VLAN으로 동작 -> VLAN 1은 매니지먼트 VLAN으로 좋지 않은 선택 -> 스..