본문 바로가기

보안

(106)

이메일 아티팩트 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 이메일 아티팩트 1. 파일구조 - 헤더 Return-Path: X-SpamCatcher-Score: 1 [X]Received: from [136.167.40.119] (HELO dc.edu)by fe3.dc.edu (CommuniGate Pro SMTP 4.1.8)with ESMTP-TLS id 61258719 for example_to@mail.dc.edu; Mon, 23 Aug 2004 11:40:10 -0400Message-ID: Date: Mon, 23 Aug 2005 11:40:36 -0400From: Taylor Evans User-Agent: Mozilla/5.0 (Wind..

외장 저장장치 포렌식 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 외장 저장장치 1. 인식 절차 1) 버스 드라이버는 PnP 관리자에게 장치의 고유 식별번호(device descriptor)로 연결 알림 - 식별번호 – 제조사, 일련번호, 드라이버 등을 포함 2) .PnP 관리자는 받은 정보를 기반으로 Device Class ID를 설정하고 드라이버 검색 3) 드라이버가 없을 경우, PnP 관리자는 장치의 펌웨어로부터 드라이버를 전달받아 설치 - 장치 드라이버 설치 과정은 Setup API 로그에 기록 4) 드라이버 설치와 함께 레지스트리에 장치 관련 키/값 생성 - HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\{DID, de..

이미지 파일을 VMWare에서 부팅하기 1. 먼저 인케이스 또는 FTK를 이용해 마운트를 시킨다 2. 010에디터를 관리자 권한으로 실행한다. 3. Crtl+D 한후 마운트한 드라이브를 선택한다. 4. Save As 로 이미지 파일을 *.dd로 저장한다. 5. ProDiscoverBasic Free버전을 다운받고 설치한다.(구글검색) 6. Tool -> Image Conversion Tools -> VMWare Support for DD images 7. 새롭게 생긴 *.vmdk 파일과 dd를 가상머신에 사용할 폴더애 넣는다. 8. VMWare를 실행 9. File -> New Virtual Machine -> Custom -> Next -> I Will install the operating system later -> 버전선택 -> loc..

USB 사용기록 분석 1. 이벤트로그확인 C:\Windows\System32\winevt\Logs\System.evtx 2. 레지스트리확인 추출 : C:\Windows\System32\config\RegBack\SYSTEM 추출 : C:\Windows\System32\config\SYSTEM HKEY_LOCAL_MACHINE\System\Controlset002\Control\Class\{...ID...}\00XX {...ID...}의 Class가 USB인 것을 찾는다. 키를 설정한 시간으로 최종으로 꽂은 시간을 확인할 수 있다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Portable Devices\Devices\.........#UMB#..&... ... VEN_제조사이름&하드웨어..

볼라틸리티 (Volatility) -메모리 포렌식 소개 - Python 기반 Windows Memory Forensic Tool - Windows, Linux, Mac OS에서 실행할 수 있음 - Open source 이며, Plugin 형태로 다양한 기능들을 제공 - 플러그인을 자신이 직접 만들어 사용가능 - 메모리 덤프 파일(img, raw, dmp), 하이버네이션 파일(hiber), 가상 머신 메모리(vmem) 분석가능 - 획득할 수 있는 정보 - 트리 형태의 프로세스 리스트, 프로세스가 로드한 DLL과 핸들, 프로세스 환경변수와 Import, Export하는 함수, 네트워크 정보, 시스템에서 로드했던 드라이버 목록 - 실행 중이거나 종료 또는 루트킷으로 은닉된 프로세스의 오프셋, SID(보안 식별자), PID, 스레드 수, 핸들 수, 시작 및 종..

메모리 포렌식 기초 지식 물리 메모리란? - 읽고 쓰기가 가능한 주기억 장치이며 반도체 회로로 구성 - 특정 영역에 저장된 데이터에 접근하는 데 동일한 시간이 걸리고 접근속도가 빠름 - 전원 공급이 중단되면 기억된 내용은 지워지는 휘발성 저장장치 물리메모리 수집 방법 가상 메모리 - 다수의 태스크가 하나의 메모리를 사용하기 때문에 물리 메모리 크기 보다 더 큰 저장 공간 필요 - 실행영역만을 적재하여 물리 메모리의 크기보다 큰 프로그램의 수행이 가능해짐 가상 메모리 구조 - 물리주소 : 실제 물리 메모리 상에서 유효한 주소 - 논리 주소(가상 주소) : 운영체제에서 주소 할당 시 가상적으로 주어진 주소 - 가상 주소 공간은 메모리 관리 장치(Memory Management Unit)에 의해 물리 주소로 변환됨 하드웨어를 이용한 ..

시큐어코딩 (JAVA) 1. 시큐어 코딩의 필수 쟁점 - 아키텍처 - 프로토콜 - 클라이언트 & 서버 언어 최근 침해사고 피해 유형을 살펴보니 1. 모바일 보안 위협 증대 3. 개인정보 유출형 해킹사고 4. 홈페이지를 통한 악성코드 유포 지속 를 살펴보면 모두 웹환경이다. 기존 소프트웨어 개발자는 하드웨어가 버틸 수 있는지에 대해 고려하며 하드웨어 중심으로 개발했다. 이후 애플리케이션 개발자는 솔루션 중심과 정해진 프로토콜을 신경썼다. 그러다 웹 환경으로 넘어오면서 지금의 환경이 오픈된 환경이라 생각하고 개발해야하는데 실제 현실은 그렇지 않다. 물론 초기에는 정보를 모두 공개하는 환경이었긴 하지만 지금은 Private이 중요해짐에따라 정보 보호도 신경써서 개발해주어야한다. 기본적으로 열려있는 공간에서 막으려면 많은 것들을 생각..

APT 분석방법 - 디스크 및 패킷 분석 1. 패킷분석(와이어샤크) 0) 시간 설정 edit-> TIme Shift 에서 +9:00:00 을 해준다. view -> Time Display Format -> UTC Date and Time of Day 1) 악성코드 유포지를 통해 역으로 분석 http.request.full_uri contains “유포지 전체링크” 봐야할 것 : - Referer : 현재 페이지를 접속하기 전의 주소 - Host : 악성코드와 관련 있는 주소를 찾기위해 필요 - Full request URI : 유포지 주소 - Response 패킷번호 : 다운로드 받은 바이너리를 추출할 수 있음 2) 유포지의 Host 정보를 이용해 경유 사이트 확인 http.request.full_uri contains “http://siten..

이전 1 2 3 4 5 6 7 ··· 14 다음

티스토리툴바