Jsecurity

개요 - 보안 운영체제는 컴퓨터 운영체제 상에 내재된 보안상의 결함으로 발생 가능한 각종 침해로부터 시스템을 보호하기 위하여 기존의 운영체제 내의 보안 커널을 추가로 이식한 운영체제를 말한다 -보안 운영체제의 구성요소에는 보안커널과 참조모니터가 있다. 보안커널(Security Kernel) 주체, 객체간의 모든 접근과 기능을 중재하는 보안 절차를 구현한 하드웨어, 펌웨어, 소프트웨어 등을 말한다. 참조모니터(Reference Monitor) 보안커널의 가장 중요한 부분으로 주체, 객체간의 접근통제 기능을 수행하는 핵심 모듈을 말한다. 참조모니터 (reference monitor) 참조모니터는 보안 운영체제에서 주체와 객체사이의 정보 흐름을 감시하는 보안모듈로 주체와 객체의 접근권한을 정의한 보안 커널 테..

문제: 파일에서 플래그를 찾아라 ※ 문제파일 ※ 풀이 ①. 어떤 유형의 파일인지 확인하기 [root@localhost Desktop]$ file myheart_7cb6daec0c45b566b9584f98642a7123 ②. 파일명 변경하기 [root@localhost Desktop]$ mv myheart_7cb6daec0c45b566b9584f98642a7123 myheart_7cb6daec0c45b566b9584f98642a7123.xz ③. xz파일 압축 풀기 [root@localhost Desktop]$ unxz myheart_7cb6daec0c45b566b9584f98642a7123.xz 짠! 하고 압축이 풀렸다! 이거또한 파일의 종류를 알 수 없기때문에 찾아보자 파일 확장자는 패킷파일인 pcap..

네트워크 포렌식 분석 도구이다. 유닉스 환경및 윈도우에서도 실행이 가능하다. 네트워크마이너(NetworkMiner)는 패킷 캡쳐 기능을 제공하면서 사용하는 운영체제, 세션, 호스트이름, 열려있는 포트 정보등을 탐지할 수 있다. 실시간으로 탐지하는 기능뿐만아니라, PCAP 파일을 직접 읽어들일 수도 있다. 설치 URL: https://www.filecroco.com/download-networkminer/ NetworkMiner 2.3 Free Download for Windows 10, 8 and 7 - FileCroco.com NetworkMiner is a Network Forensic Analysis Tool or NFAT designed to be used as a passive network s..

#유닉스/리눅스 시스템의 로그 파일 이름과 저장되는 내용 #윈도우 시스템 이벤트 로그 #윈도우 시스템에서 이벤트 로그 실행방법 [시작] -> [제어판] -> [관리도구] -> [이밴트 뷰어] #이벤트로그의 5가지 유형 #이벤트 로그중 주요 정보 [참고자료] http://egloos.zum.com/chunhk00/v/4839399 윈도우 로그 관리 및 분석 방법 1. 로그관리의 필요성 기업 및 개인의 자산을 안전하게 보호하기 위한 최선의 방법은 주기적인 취약점 점검 및 제거와 같은 예방활동일 것이다. 하지만 보안에 있어서 "완벽한 보안은 없다" 라는 말처럼 어떠한 보안도 해킹 기술을 앞지를 수 없으며, 신규 취약점에 대한 보안패치가 발표되거나 보급되기 이전 짧은 시간내에 웜 또는 바이러스 형태로 전세계 네..

# 시스템 로그인 과정 - 사용자 계정과 패스워드를 입력하면 로그인을 담당하는 프로그램은 입력한 패스워드와 /etc/passwd 파일의 해당 필드를 비교합니다. (유닉스는 모든 과정이 별개의 프로그램으로 실행된다) - 패스워드 확인 후 로그인 프로그램은 쉘이 사용할 변수들을 근거로 초기 환경을 설정합니다. HOME, SHELL, USER, LOGNAME 변수들은 /etc/passwd 파일에 기록된 정보로 값이 설정된다. ∙ HOME 변수 : 사용자의 홈 디렉터리 지정 ∙ SHELL 변수 : 로그인 쉘 지정 ∙ USER or LOGNAME 변수 : 사용자의 사용자 계정을 지정 - 로그인 쉘(/bin/sh, /bin/csh, /bin/ksh 등)은 일반적으로 /etc/passwd 파일의 마지막 필드에 정의 ..

# 파일시스템의 정의 - 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제 - 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정 된 약속 # 파일시스템의 분류 - Disk 파일시스템 ∙ 일반적으로 HDD에 파일을 저장하기 위해 고안된 구조 ∙ 예) FAT, NTFS, HFS, HFS+, HPFS, UFS, ext2/3/4, btrfs, ISO 9660, ODS-5, ∙ Veritas File System, ZFS, ReiserFS, Linux SWAP,UDF - 플래시 파일시스템 ∙ 플래시 메모리에 저장하기 위해 고안된 구조 ∙ 플래시 메모리 특성: Erasing Block, Random Access, Wear Leveling, YAFFS, JFFS 등 #..

# MFT Attributes - 파일의 여러 정보를 저장하고 있는 Metadata - Attrubyte Header: 속성 Type, 속성의 길이, Non-Resident Falg 등 - Attribute Content: 속성의 Type에 따른 정보 저장 # 속성의 종류 # $STANDARD_INFORMATION 속성, $FILE_NAME 속성 Fixup 배열 이후에 속성 식별자로 “0x00000010” 값을 가지는 $STANDARD_INFORMATION 속성이 나온다. 다른건 다 놔두고 이어서 나오는 $FILE_NAME 속성 전에 가운데 부분을 보면 일정한 형태의 값 4개를 확인할 수 있다. (“A0 59 A7 53 FE FE C3 01”) 이것은 $STANDARD_INFORMATION 속성의 4가지..

# MFT Entry - 일반적으로 1,024bytes 크기를 가지며 그 위치는 Boot Record에 기록 - MFT Entry Header: 48Bytes - Attributes: 파일에 대한 metadata 정보 저장 # MFT 엔트리 구조 -MFT 엔트리는 다음 그림과 같은 구조를 가진다. 맨 앞부분에 48 바이트 크기의 엔트리 헤더와 Fixup 값, 그리고 해당하는 파일의 특성에 따라 여러 개의 속성을 가진다. # MFT Entry Header # MFT Entry Header Signature : "FILE" Offset to fixup array : 0x0030 Number of entries in fixup array : 0x0003 $LogFile Sequence Number (LSN) ..

# MFT (Master File Table) - 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블 - NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크기를 작게 설정하며 파일이 많아짐에 따라 Windows는 점점 MFT의 크기를 늘려간다. - 파일이나 디렉토리가 많아질수록 MFT의 크기는 점점 커지지만 한번 늘어난 MFT는 파일이 줄어든다고 해서 줄어들진 않는다. # NTFS Master file table 구조 - 메타 데이터 파일 (Meta Data File)과 일반 파일 또는 디렉터리에 대한 정보를 저장하고 있는 MFT Entry (Metadata)로 구성 # NTFS Meta Data File - NTFS 파일시스템 관리 ..

# NTFS Boot Record 구조 # NTFS 파티션 부트 섹터 - NTFS 볼륨의 포맷 프로그램은 부트 섹터에 대해 처음 16섹터를 할당한 다음 부트 스트랩 코드를 할당합니다. - NTFS 파티션의 첫 번째 섹터는 부팅 섹터 또는 볼륨 부팅 레코드 인 VBR 입니다. - 파일 시스템 유형, 크기 및 NTFS 데이터의 위치를 ​​포함합니다. - $MFT의 # 7 번 항목으로 액세스 할 수 있습니다. - 부팅 섹터는 불륨 끝에 백업됩니다. # Boot Record 구조 # Detail VBR # Boot Record 항목 [관련 PDF] https://kali-km.tistory.com/attachment/cfile25.uf@267EAD4E568E29232650BD.pdf [참고자료] https://..