Jsecurity

디지털 포렌식 워크샵에 다녀왔습니다. 워크샵 장소가 생각보다 멀어서 고단했지만, 포렌식에 대해서 폭넓은 지식을 햠양할 수 있었던 좋은 시간이였습니다. 워크샵 장소: The K Hotel 양재 시민의숲역에서 나와 길을 쭉 걷다보면 큰 호텔이 하나가 떡하니 나타납니다. 워크숍 내용들이 나에겐 너무 이해하기 어려웠던 부분이 많았습니다. 그중에서 인상 깊었던 내용은 첫째날, 한신대학교에서 OOXML office forensic에 대해서 연구하신 내용은 디지털 포렌식 챌린지 대회를 하면서 공부를 했던 내용이라 인상깊게 들었습니다. 2020년도 디지털포렌식연구회의 계획입니다. 멀리서 촬영하여 화질이 나쁘네요.. 내년에도 디지털 포렌식 챌린지를 개최 하니 많은 참여 부탁드립니다!

법규에서 정하고 있는 침해사고의 정의 1) 법규 - 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태. (정보통신망 이용촉친 및 정보보호 등에 관한 법률 제2조 1항 7호) 2) 실무에서의 관점 - 해킹, 컴퓨터 바이러스 유포에 한정하지 않고, 모든 전자적인 공격행위 및 그 결과에 따라 각종 영향을 받는다. 포렌식 준비도의 개념과 특징 및 장점 개념) 보안 사고조사, 징계절차, 고용 재판, 법정 등에서 디지털 증거가 효과적으로 사용될 수 있도록 증거를 보존, 수집, 보호 및 분석할 수 있는 적절한 수준의 능력을 말한다. 특징) ① 선제적이고 사전적 대응전략이라는 점에서 사후적 활동으로서의 전통..

#유닉스/리눅스 시스템의 로그 파일 이름과 저장되는 내용 #윈도우 시스템 이벤트 로그 #윈도우 시스템에서 이벤트 로그 실행방법 [시작] -> [제어판] -> [관리도구] -> [이밴트 뷰어] #이벤트로그의 5가지 유형 #이벤트 로그중 주요 정보 [참고자료] http://egloos.zum.com/chunhk00/v/4839399 윈도우 로그 관리 및 분석 방법 1. 로그관리의 필요성 기업 및 개인의 자산을 안전하게 보호하기 위한 최선의 방법은 주기적인 취약점 점검 및 제거와 같은 예방활동일 것이다. 하지만 보안에 있어서 "완벽한 보안은 없다" 라는 말처럼 어떠한 보안도 해킹 기술을 앞지를 수 없으며, 신규 취약점에 대한 보안패치가 발표되거나 보급되기 이전 짧은 시간내에 웜 또는 바이러스 형태로 전세계 네..

# 파일시스템의 정의 - 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제 - 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정 된 약속 # 파일시스템의 분류 - Disk 파일시스템 ∙ 일반적으로 HDD에 파일을 저장하기 위해 고안된 구조 ∙ 예) FAT, NTFS, HFS, HFS+, HPFS, UFS, ext2/3/4, btrfs, ISO 9660, ODS-5, ∙ Veritas File System, ZFS, ReiserFS, Linux SWAP,UDF - 플래시 파일시스템 ∙ 플래시 메모리에 저장하기 위해 고안된 구조 ∙ 플래시 메모리 특성: Erasing Block, Random Access, Wear Leveling, YAFFS, JFFS 등 #..

# MFT Attributes - 파일의 여러 정보를 저장하고 있는 Metadata - Attrubyte Header: 속성 Type, 속성의 길이, Non-Resident Falg 등 - Attribute Content: 속성의 Type에 따른 정보 저장 # 속성의 종류 # $STANDARD_INFORMATION 속성, $FILE_NAME 속성 Fixup 배열 이후에 속성 식별자로 “0x00000010” 값을 가지는 $STANDARD_INFORMATION 속성이 나온다. 다른건 다 놔두고 이어서 나오는 $FILE_NAME 속성 전에 가운데 부분을 보면 일정한 형태의 값 4개를 확인할 수 있다. (“A0 59 A7 53 FE FE C3 01”) 이것은 $STANDARD_INFORMATION 속성의 4가지..

# MFT Entry - 일반적으로 1,024bytes 크기를 가지며 그 위치는 Boot Record에 기록 - MFT Entry Header: 48Bytes - Attributes: 파일에 대한 metadata 정보 저장 # MFT 엔트리 구조 -MFT 엔트리는 다음 그림과 같은 구조를 가진다. 맨 앞부분에 48 바이트 크기의 엔트리 헤더와 Fixup 값, 그리고 해당하는 파일의 특성에 따라 여러 개의 속성을 가진다. # MFT Entry Header # MFT Entry Header Signature : "FILE" Offset to fixup array : 0x0030 Number of entries in fixup array : 0x0003 $LogFile Sequence Number (LSN) ..

# MFT (Master File Table) - 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블 - NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크기를 작게 설정하며 파일이 많아짐에 따라 Windows는 점점 MFT의 크기를 늘려간다. - 파일이나 디렉토리가 많아질수록 MFT의 크기는 점점 커지지만 한번 늘어난 MFT는 파일이 줄어든다고 해서 줄어들진 않는다. # NTFS Master file table 구조 - 메타 데이터 파일 (Meta Data File)과 일반 파일 또는 디렉터리에 대한 정보를 저장하고 있는 MFT Entry (Metadata)로 구성 # NTFS Meta Data File - NTFS 파일시스템 관리 ..

# NTFS Boot Record 구조 # NTFS 파티션 부트 섹터 - NTFS 볼륨의 포맷 프로그램은 부트 섹터에 대해 처음 16섹터를 할당한 다음 부트 스트랩 코드를 할당합니다. - NTFS 파티션의 첫 번째 섹터는 부팅 섹터 또는 볼륨 부팅 레코드 인 VBR 입니다. - 파일 시스템 유형, 크기 및 NTFS 데이터의 위치를 ​​포함합니다. - $MFT의 # 7 번 항목으로 액세스 할 수 있습니다. - 부팅 섹터는 불륨 끝에 백업됩니다. # Boot Record 구조 # Detail VBR # Boot Record 항목 [관련 PDF] https://kali-km.tistory.com/attachment/cfile25.uf@267EAD4E568E29232650BD.pdf [참고자료] https://..

NTFS (New Technology File System) - NTFS은 1993년 Microsoft사 개발자 톰 밀러, 게리 키무라, 브라이언 앤드루, 데이빗 고벨 의해 구현 - Windows NT에서 사용하기 위한 파일시스템으로 서버로 가기 위해서는 FAT는 적절치 못해서 새롭게 개발된 파일 시스템 # NTFS 버전 # NTFS 특징 데이터 복구 기능 : 모든 작업을 트랜잭션 단위로 기록하고 시스템 장애로 인한 문제 발생시 복구 암호화 : EFS(Encryption File System), NTFS 5.0 이후 지원 압축 : ZIP 형식의 LZ77 변형 압축 기술 사용 디스크 쿼터 : 디스크 사용량 제한, NTFS 5.0 이후 지원 ADS (Alternate Data Stream) : 다중 스트림으..

※ directory entry, clusters, FAT structure EX) FAT structure 실습 부트코드 점프명령어 = EB 3C 90 OEM Name = 6D 6B 64 6F 73 66 73 00 = mkdosfs Byte Per Sector = 00 02 -> 02 00 -> 512byte Sector Per Cluster = 01 01 00 -> 예약된 섹터수 00 01 -> 1개 02 -> FAT 영역의 수 2개 Root Directory Entry 개수 = 00 02 -> 02 00 -> 512개 볼륨 총 섹터수 = 00 78 -> 78 00 -> 30720개 F8 -> HDD (하드디스크 볼륨) 77 00 -> 00 77 -> FAT 섹터수 119개 Root Directory..