Jsecurity

#유닉스/리눅스 시스템의 로그 파일 이름과 저장되는 내용 #윈도우 시스템 이벤트 로그 #윈도우 시스템에서 이벤트 로그 실행방법 [시작] -> [제어판] -> [관리도구] -> [이밴트 뷰어] #이벤트로그의 5가지 유형 #이벤트 로그중 주요 정보 [참고자료] http://egloos.zum.com/chunhk00/v/4839399 윈도우 로그 관리 및 분석 방법 1. 로그관리의 필요성 기업 및 개인의 자산을 안전하게 보호하기 위한 최선의 방법은 주기적인 취약점 점검 및 제거와 같은 예방활동일 것이다. 하지만 보안에 있어서 "완벽한 보안은 없다" 라는 말처럼 어떠한 보안도 해킹 기술을 앞지를 수 없으며, 신규 취약점에 대한 보안패치가 발표되거나 보급되기 이전 짧은 시간내에 웜 또는 바이러스 형태로 전세계 네..

# 파일시스템의 정의 - 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제 - 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정 된 약속 # 파일시스템의 분류 - Disk 파일시스템 ∙ 일반적으로 HDD에 파일을 저장하기 위해 고안된 구조 ∙ 예) FAT, NTFS, HFS, HFS+, HPFS, UFS, ext2/3/4, btrfs, ISO 9660, ODS-5, ∙ Veritas File System, ZFS, ReiserFS, Linux SWAP,UDF - 플래시 파일시스템 ∙ 플래시 메모리에 저장하기 위해 고안된 구조 ∙ 플래시 메모리 특성: Erasing Block, Random Access, Wear Leveling, YAFFS, JFFS 등 #..

# MFT Attributes - 파일의 여러 정보를 저장하고 있는 Metadata - Attrubyte Header: 속성 Type, 속성의 길이, Non-Resident Falg 등 - Attribute Content: 속성의 Type에 따른 정보 저장 # 속성의 종류 # $STANDARD_INFORMATION 속성, $FILE_NAME 속성 Fixup 배열 이후에 속성 식별자로 “0x00000010” 값을 가지는 $STANDARD_INFORMATION 속성이 나온다. 다른건 다 놔두고 이어서 나오는 $FILE_NAME 속성 전에 가운데 부분을 보면 일정한 형태의 값 4개를 확인할 수 있다. (“A0 59 A7 53 FE FE C3 01”) 이것은 $STANDARD_INFORMATION 속성의 4가지..

# MFT Entry - 일반적으로 1,024bytes 크기를 가지며 그 위치는 Boot Record에 기록 - MFT Entry Header: 48Bytes - Attributes: 파일에 대한 metadata 정보 저장 # MFT 엔트리 구조 -MFT 엔트리는 다음 그림과 같은 구조를 가진다. 맨 앞부분에 48 바이트 크기의 엔트리 헤더와 Fixup 값, 그리고 해당하는 파일의 특성에 따라 여러 개의 속성을 가진다. # MFT Entry Header # MFT Entry Header Signature : "FILE" Offset to fixup array : 0x0030 Number of entries in fixup array : 0x0003 $LogFile Sequence Number (LSN) ..

# MFT (Master File Table) - 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블 - NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크기를 작게 설정하며 파일이 많아짐에 따라 Windows는 점점 MFT의 크기를 늘려간다. - 파일이나 디렉토리가 많아질수록 MFT의 크기는 점점 커지지만 한번 늘어난 MFT는 파일이 줄어든다고 해서 줄어들진 않는다. # NTFS Master file table 구조 - 메타 데이터 파일 (Meta Data File)과 일반 파일 또는 디렉터리에 대한 정보를 저장하고 있는 MFT Entry (Metadata)로 구성 # NTFS Meta Data File - NTFS 파일시스템 관리 ..

# NTFS Boot Record 구조 # NTFS 파티션 부트 섹터 - NTFS 볼륨의 포맷 프로그램은 부트 섹터에 대해 처음 16섹터를 할당한 다음 부트 스트랩 코드를 할당합니다. - NTFS 파티션의 첫 번째 섹터는 부팅 섹터 또는 볼륨 부팅 레코드 인 VBR 입니다. - 파일 시스템 유형, 크기 및 NTFS 데이터의 위치를 ​​포함합니다. - $MFT의 # 7 번 항목으로 액세스 할 수 있습니다. - 부팅 섹터는 불륨 끝에 백업됩니다. # Boot Record 구조 # Detail VBR # Boot Record 항목 [관련 PDF] https://kali-km.tistory.com/attachment/cfile25.uf@267EAD4E568E29232650BD.pdf [참고자료] https://..

NTFS (New Technology File System) - NTFS은 1993년 Microsoft사 개발자 톰 밀러, 게리 키무라, 브라이언 앤드루, 데이빗 고벨 의해 구현 - Windows NT에서 사용하기 위한 파일시스템으로 서버로 가기 위해서는 FAT는 적절치 못해서 새롭게 개발된 파일 시스템 # NTFS 버전 # NTFS 특징 데이터 복구 기능 : 모든 작업을 트랜잭션 단위로 기록하고 시스템 장애로 인한 문제 발생시 복구 암호화 : EFS(Encryption File System), NTFS 5.0 이후 지원 압축 : ZIP 형식의 LZ77 변형 압축 기술 사용 디스크 쿼터 : 디스크 사용량 제한, NTFS 5.0 이후 지원 ADS (Alternate Data Stream) : 다중 스트림으..

※ directory entry, clusters, FAT structure EX) FAT structure 실습 부트코드 점프명령어 = EB 3C 90 OEM Name = 6D 6B 64 6F 73 66 73 00 = mkdosfs Byte Per Sector = 00 02 -> 02 00 -> 512byte Sector Per Cluster = 01 01 00 -> 예약된 섹터수 00 01 -> 1개 02 -> FAT 영역의 수 2개 Root Directory Entry 개수 = 00 02 -> 02 00 -> 512개 볼륨 총 섹터수 = 00 78 -> 78 00 -> 30720개 F8 -> HDD (하드디스크 볼륨) 77 00 -> 00 77 -> FAT 섹터수 119개 Root Directory..

디지털 포렌식 중에서 안티 포렌식에 관한 Tool을 기술 하려고 합니다. 안티포렌식 (Anti Forensic) 이란? 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동을 말한다. Crypture Tool의 특징 # Crypture는 1024 비트 키를 암호화하고 Windows 비트 맵 파일에 파일을 저장 # 설치가 필요없는 6KB 만 제공 (실행파일) # 모든 비트를 노이즈로 채우고 표준 스테거 분석 방법으로 건너 뜀 # 데이터 헤더는 암호화되고 분산되어 있음 Cryture.exe 속성 파일 용량이 6KB 남짓되는 크기인 스테가노그래피 Tool 악용가능성이 충분히 높아보인다. Cryture 실행 Cryture Tool 설명 비트맵(확장자: .bmp) 사진파일..

예약된영역 [FAT32] - 섹터 #0: 부트 레코드 - 섹터 #1: FSinfo [FileSystem Information] - 섹터 #6: 부트 레코드 백업 FSINFO(File System INFOrmation) - FSINFO는 일반적으로 1번째 섹터(부트 섹터 다음)에 저장되는 구조로 7번째 섹터에 내용을 백업 - FSINFO 구조의 용도는 운영체제에게 첫 비할당 클러스터의 위치와 전체 비할당 클러스터의 수를 알려쥼 FSINFO의 장점 - 비할당 클러스터의 위치를 알려줌으로써 해당 볼륨에 저장하고자 하는 파일을 빠르게 할당 - 전체 비할당 클러스터의 수를 통해 해당 파일이 볼륨에 할당 가능한지 여부도 알 수 있다. - FSINFO 구조때문에 볼륨의 여유 공간을 빠르게 파악할 수 있다. #FSIN..