본문 바로가기

보안/포렌식

(22)
메모리 포렌식 기초 지식 물리 메모리란? - 읽고 쓰기가 가능한 주기억 장치이며 반도체 회로로 구성 - 특정 영역에 저장된 데이터에 접근하는 데 동일한 시간이 걸리고 접근속도가 빠름 - 전원 공급이 중단되면 기억된 내용은 지워지는 휘발성 저장장치 물리메모리 수집 방법 가상 메모리 - 다수의 태스크가 하나의 메모리를 사용하기 때문에 물리 메모리 크기 보다 더 큰 저장 공간 필요 - 실행영역만을 적재하여 물리 메모리의 크기보다 큰 프로그램의 수행이 가능해짐 가상 메모리 구조 - 물리주소 : 실제 물리 메모리 상에서 유효한 주소 - 논리 주소(가상 주소) : 운영체제에서 주소 할당 시 가상적으로 주어진 주소 - 가상 주소 공간은 메모리 관리 장치(Memory Management Unit)에 의해 물리 주소로 변환됨 하드웨어를 이용한 ..
APT 분석방법 - 디스크 및 패킷 분석 1. 패킷분석(와이어샤크) 0) 시간 설정 edit-> TIme Shift 에서 +9:00:00 을 해준다. view -> Time Display Format -> UTC Date and Time of Day 1) 악성코드 유포지를 통해 역으로 분석 http.request.full_uri contains “유포지 전체링크” 봐야할 것 : - Referer : 현재 페이지를 접속하기 전의 주소 - Host : 악성코드와 관련 있는 주소를 찾기위해 필요 - Full request URI : 유포지 주소 - Response 패킷번호 : 다운로드 받은 바이너리를 추출할 수 있음 2) 유포지의 Host 정보를 이용해 경유 사이트 확인 http.request.full_uri contains “http://siten..
윈도우 악성코드 포렌식 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 1. 프리패치 · 목적 : 하드디스크의 속도 때문에 초기 참조하는 파일의 순서를 저장해서 부팅시 빠르게 로드할 수 있도록 함. · 윈도우 프리패칭 (Windows Prefetching) - 실행 파일이 사용하는 시스템 자원 정보를 특정 파일에 저장  프리패치 파일 - 윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드 - 사용자가 파일을 실행할 경우 미리 저장된 정보를 이용해 초기 실행 속도 향상 - 윈도우 XP 이후 (2003, Vista, 2008, 7, 8, 10)의 운영체제에서 제공 · 프리패칭 유형 - 부트 프리패칭 (Boot Prefetching) : XP, 2003, Vi..
log2timeline(plaso) 사용방법 이미지를 지정해줘도 되지만 편하게 아티팩트를 수집해 해당 파일만 분석하겠다. 다음의 파일을 수집한다. 1. 인터넷히스토리 파일 경로 : %SystemDrive%\Users\계정\AppData\Local\Microsoft\Windows\WebCache\ 2. 레지스트리 파일 파일 경로 NTUSER.DAT %SystemDrive%\Users\계정 ntuser.dat %SystemDrive%\Users\계정 SAM %Windir%\System32\config SECURITY %Windir%\System32\config SOFTWARE %Windir%\System32\config SYSTEM %Windir%\System32\config 3. 이벤트 로그 파일 경로 : D:\Windows\System32\wine..
Shortcut 출처 : https://msdn.microsoft.com/en-us/library/windows/desktop/cc144175(v=vs.85).aspx 레지스트리 상세 위치 : \HKEY_LOCAL_MACHINE\SOFTWARE\Classes\[프로그램이름]\shell\open\command 유저가 파일과 같은 Shell 객체를 마우스 우클릭 했을 때 이 Shell은 shortcut 메뉴를 보여준다. 이 메뉴는 유저가 다양한 행동을 취할 수 있도록하는 명령어 목록으로 구성된다. 이러한 명령어들은 shortcut menu items 또는 verbs이라 한다. shortcut 메뉴는 커스터마이징될 수 있다. 1. 파일 시스템의 Shorcut Menus에대한 소개 shortcut 메뉴들은 대개 파일 관리를 위..
[Sleuth Kit] fls - 이미지 파일 목록 추출 출처 : http://wiki.sleuthkit.org/index.php?title=Fls 명령어 사용 방법 : http://www.sleuthkit.org/sleuthkit/man/fls.html 파일다운로드: 1. 개요 : fls는 파일 시스템 내의 파일과 디렉토리 이름을 목록화 한다. 이는 주어진 디렉토리의 컨텐츠를 처리하여 삭제된 파일의 정보를 보여준다. 2. 출력 결과 : 기본적으로 (-l 이나 -m을 사용하지 않은 경우) 디렉토리 내의 각 파일 당 한 줄로 출력된다. NTFS의 예로 다음과 같이 출력된다. r/r 1304-128-1: IO.SYS 3. 파일 타입 출력결과의 r/r은 파일타입을 말한다. 앞의 'r'은 파일의 file name strucutre 내에 저장된 타입을 말한다. 뒤의 '..
프로세스 실행 횟수 확인 대표적으로 프로세스의 실행횟수 여부는 프리패치, 이벤트로그, 레지스트리에 남게 된다. 이벤트로그는 기본적으로 프로세스 실행여부추적이 설정되지않기 때문에 secpol.msc을 실행시킨 뒤 추적으로 설정해주어야함 1. 윈도우즈 XP 1) 프리패치 - 프로그램 실행 시 2개의 프로세스가 실행되면 이것도 추가적으로 올라감 (20번 실행하면 40번 실행됨) 2) 레지스트리 - 처음엔 0이나 실행시킬 경우 +5가 되어 6이됨 - 그다음부터는 1씩 증가함 - 데이터파일을 마우스 오른쪽 클릭 후 목록에서 프로그램을 실행할 경우 레지스트리에 남지 않음 3) 이벤트 로그 - 프리패치와 동일함 2. 윈도우 7,8 1) 레지스트리, 이벤트로그는 XP와 동일함 2) 프리패치 - 프로그램 실행 시 추가적인 프로세스가 실행되면 X..
Extensible Storage Engine 보호되어 있는 글입니다.