Jsecurity

#Boot Record 첫번째 섹터로서 해당 볼륨의 여러 가지 설정 값, 부팅을 위한 실행 코드 포함, 예약된 영역에 포함되어 있다 #Boot Record [공통사항] #Boot Record 예제 #예제의 FAT 구조 부트 코드로 점프하는 명령: EB 3C 90 OEM Name: mkdosfs Bytes per Sector: 512 Sector per Cluster: 1 예약된 섹터 수: 1 FAT 영역의 수: 2 FAT Size: 119 File System type: FAT16 1+ 119 * 2 => Root Directory 시작 = 239 Root Directory: 239섹터 #FAT16 Boot Record #FAT32 Boot Record

파일 할당 테이블(File Allocation Table, FAT) #개념 1. FAT 파일 시스템은 빌 게이츠 와 마크 맥도널드가 1976년부터 1977년에 이르는 기간 동안 개발 2. 디지털 카메라 등에 장착되는 대부분의 메모리 카드와 수많은 컴퓨터 시스템에 널리 쓰이는 컴퓨터 파일 시스템 구조 3. FAT 파일 시스템은 상대적으로 간단하기 때문에 플로피 디스크, 플래시 메모리 카드, 디지털 카메라 및 다른 수많은 휴대용 기기에서 흔하게 볼 수 있다. 4. FAT의 성능은 다른 대부분의 파일 시스템에 좋지 않다. 그 까닭은 운영 시간을 낭비하게 만드는 너무나도 단순한 자료 구조를 이용하고 조그마한 파일이 많이 있으면 디스크 공간을 잘 활용하지 못하기 때문 #FAT 파일시스템의 변화 과정 #데이터 클러..

# MBR (Master Boot Record) -일반적으로 X86 환경에서 사용되며 파티션에 대한 위치를 포함한 정보, OS 부팅을 위한 부트코드(Boot Code) 등을 포함 - 부트 코드는 컴퓨터의 읽기 전용 기억장치(ROM)에 있는 부트로더 (Boot Loader 또는 부트스트랩로더)에 의해서 실행(메모리에 Load) - 4개의 파티션 정보(Primary Partition Entry)를 포함하는 파티션 테이 블(Partition Table)을 가지고 있으며 확장 파티션에 의해서 4개 이상 의 Partition을 생성할 수 있음 # 논리적인 하드디스크 구조 - 0번섹터에 MBR이 오며 그 뒤로 차례로 파티션 정보가 나오게 됩니다. # MBR의 구조 - MBR은 1섹터(512byte)로 이루어져 있다..

성균관 대학교 법학관에서 시험을 응시하러 갔지만.. 생각보다 높은곳에 위치한 탓에 택시를 타고 갔다! 시험은 약 2시간정도 시간이 주어졌지만 문제풀고 OMR 작성하고나서 시간을 확인해보니 10분남짓 남아서 조금 시간이 부족했다. 결과는 다행히 한번에 합-격! 시험공부는 객관식 디지털포렌식 교재를 토대로 공부를 했다. 이책인데 정말 문제만있어서 필기 합격하기에는 문제가 없을 정도이다. 처음부터 끝까지 두번정도? 읽고 풀고 갔는데도 시험칠때 공부했던 내용이 대부분 출제되었다. 어느정도 이책이 시험에 큰 역할을 해준듯 하다. 그리고 어느분이 요약해주신 요약집이 있어서 참고하시고 공부하세요!! https://blog.naver.com/PostView.nhn?blogId=bitnang&logNo=220692059..

주요판례 – ‘일심회‘ 사건 사건 경과 ※검찰 기소 피고인들이 ‘일심회＇라는 이적단체를 구성하고, 북경 등 제3국에서 북한공작원을 접선하여 지령을 수술하였으며, 국가기밀을 탐지하여 북한에 전달하였다. 법원에 피고인들로부터 압수한 디지털 저장매체를 출력하여 증거로 제출함. ※원심에서 피고인의 주장 국가정보원에서 최초 이미지 작업 시 해쉬값을 작성하지 않았다는 증인 공소외 5의 증언 등에 비추어 볼 때 국가정보원에서 1차로 진행된 디지털 증거에 대한 포렌식 복구 수사과정에서 디지털 원본 매체의 변경 가능성이 존재한다. 이 사건 압수물인 원본 디지털 저장매체로부터 출력된 문건 내용이 원래의 데이터 내용과 다름없이 수집, 제출되었다고 보기 어려우므로, 위 문건은 증거능력이 없다. ※원심[서울고등법원 2007.0..

페이징 (paging) 페이징 방식에서는 가상메모리상의 주소공간을 일정한 크기의 페이지로 분할하게 되는데 실제 메모리 또한 가상메모리와 같은 크기로 페이지를 분할하게 된다. 페이지는 1Kbyte, 2Kbyte, 4Kbyte등으로 시스템에 따라 그 크기가 정해져 있지만 대부분의 경우 4Kbyte의 크기를 사용한다. 가상메모리란 메모리로서 실제 존재하지는 않지만 사용자에게 있어 메모리로써의 역할을 하는 가상의 메모리, 다시 말해 프로그램이 수용될 때는 가상메모리의 크기에 맞춰 수용되는 것이다. 그러나 가상메모리에 수용된 프로그램이 실행될 때는 실제 메모리를 필요로 하게 되는 것이다. 다음과 같은 예를 한번 들어보자. 우리가 컴퓨터를 전공하게 된다면 학습에 필요한 서적들은 아마도 수 백 권에 이를 것이다. 그..

1903년 12월 28일 - 1957년 2월 8일 헝가리 출신 미국인 수학자이다. 양자 역학, 함수 해석학, 집합론, 위상수학, 컴퓨터 과학, 수치해석, 경제학, 통계학 등 여러 학문 분야에 걸쳐 다양한 업적을 남겼다. 폰 노이만 (Von Neumann) 구조 CU (Control Unit)가 메모리에서 명령어를 가져와 연산(ALU)를 하고 다시 메모리에 결과를 저장하는 방식 특징 - 프로그램 내장방식 - CPU 는 하나의 단 하나의 명령어만 순차적 실행 - 데이터와 명령어의 메모리 공유 문제점 - CPU의 비효율적인 사용(한번에 하나의 처리) - 주기억장치 병목현상 (명령어, 데이터 모두 주기억에 저장) 하바드 (Harvard) 구조 명령어 메모리에서 명령을 가져와 분석 실행하고 참조 결과에 대한 저장..

1) CISC (Complex Instruction Set Computer) - HW 회로 가 복잡하여, 다양한 명령어 존재함, 명령어의 길이(바이트 수)도 다양함. - 명령어에 따른 실행 속도도 다양하게 측정됨 - 파이프라인 등의 실행 성능 개선을 위한 방법 적용이 어려움 - 현재의 x86 CPU는 내부적으로 RISC로 동작하면서 CISC명령을 에뮬레이션하는 형태를 취하고 있기 때문에 CISC 아키텍쳐가 아직까지 살아남아 있다고 주장하기는 어렵다. 사실상 사라진 기술 2) RISC (Reduced Instruction Set Computer) -IBM에서 1980년에 발표하고 MIPS를 창시한 데이비드 패터슨 교수등이 정립한 CPU의 명령어셋 아키텍처와 마이크로 아키텍처 설계에 대해 새로 제시한 개념 ..

#휘발성 데이터 (Volatile Data) 휘발성 데이터란 전원의 공급이 끊기거나 시간이 흐름에 따라 자연히 저장 공간에서 사라지는 데이터로말 그대로 휘발성을 가진 디지털 데이터를 의미하는 용어다. 일반적으로 디지털 포렌식에서는 컴퓨터가 켜져 있을 때, 보조기억장치에 해당하는 물리 메모리(RAM)에 로딩되어 있는 데이터를 가리켜 휘발성 데이터라 한다. 전원이 끊어지면 손실되는 데이터 => 초기 분석 수행 => 시스템 명 령어 및 Tool 활용 ->FDD , USB 장치 등에 수집 #종류- 현재 시스템 날짜와 시간은?- 현재 실행 되고 있는 프로세스 정보는 무엇인가?- 현재 시스템에 누가 접속 하였는가?- 현재 열려 있는 포트는 몇 번인가?- 현재 실행 되고 있는 프로그램들은 무엇인가?- (메모리에 남아..

포렌식 - 실시간 대응의 필요성 $1. 전자 상거래는 시스템상에서 실시간으로 처리되며 시스템이 Down되어 있는 경우 분당 수백에서 수천 달러의 손실이 발생=> 하드디스크 이미지 획득을 위하여 시스템을 Down 시키는 것은 심각 한 문제를 발생시킬 수 있음 $2. 하드디스크 이미징에 있어서 많은 시간이 걸린다. $3. 또한, 시스템 동작 상태에서 증거 수집이 필요할 때가 있다.범죄에 이용되는 프로그램이 메모리에만 존재할 수 있다.임시 저장 파일의 경우 Down시 사라질 수도 있다. # 클라우드 환경으로의 변화- 관련 증거를 수집하기 위해서 클라우드 시스템 전체를 이미징 할 수 없다.- 법적 관할 쟁점, 증거 저장 위치 문제 # 기본 정보의 수집- 시스템 기본 정보 (OS, Version, SP, Patc..