저미 보안공부

운영체제 식별imageinfo : 메모리 덤프의 운영체제를 식별. 덤프파일의 이미지 정보 분석[vol.py -f "덤프파일 경로" imageinfo][volatility_2.6_win64_standalone.exe -f 덤프파일명 imageinfo] 이미지 정보 확인kdbgscan : KDBG 구조체 확인[volatility_2.6_win64_standalone.exe --profile=프로파일명 -f 덤프파일경로 kdbgscan > 저장할 텍스트 파일 이름]kpcrscan : KPCR 확인[volatility_2.6_win64_standalone.exe --profile=프로파일명 -f 덤프파일경로 kpcrscan > 저장할 텍스트 파일 이름]* KDBG : 디버거 데이터 블럭의 헤더에 포함된 시그니처..

1. 증거사본 이미지 생성, 무결성 입증2. 파티션 복구3. 증거 USB 정보4. 위법행위 증거를 흥신소에 의뢰했을 경우, 증거능력5. 피압수자 참여없이 탐색한 증거의 증거능력6. 증거능력 인정의 예외법칙7. MD5 해쉬값 ... 파일의 정보8. 윈도우즈 설치된 볼륨의 정보9. 윈도우즈 설치 일시10. 덤프 드라이브 정보11. 시리얼넘버 ... 링크 파일 정보12. 박성민 범행 증거13. 이현수 증거14. 박성민 지시 증거15. USB 소유자 추정1. 증거사본 이미지 생성 후, 무결성을 입증사본 이미지 생성해시값으로 무결성 입증 무결성 입증 이미지 생성 절차1. 전 과정 영상 촬영2. 레지스트리 쓰기방지 설정3. 이미지 생성4. hash 값 확인5. 원본 봉인 및 확인(연계보관성) 2. 훼손된 파티션 ..

E01 압축을 지원하므로 파일크기를 줄일 수 있음무결성 보장을 위해 MD5, SHA1 해시 사용 가능증거 파일 암호화를 위해 AES256 사용확장자가 E02, E03 .. 늘어나며 저장되는 포맷Encase 포맷을 사용하여 효과적으로 압축한 이미지 생성정상적인 파일 시스템일 때, 필요한 파일만 추출 Raw(DD) 원본 데이터를 파일 형태로 변환만 하고 압축하지 않음파일 시스템을 통째로 복사해서 이미지 생성파일 시스템이 조작되었을 때 분석리눅스 지원

0. 환경설정1. 무결성 입증2. 복구 및 복구과정3. 볼륨 정보4. 절도품 은닉 장소 추정 5. 절도품 은닉 장소6. 링크파일(.lnk) 찾고 속성 정보7. 범행동기 증거8. 공모자 신원정보 단서9. 외국계 서버10. 절차위반이라면..?11. 조작된 회계장부0. 환경설정⭐ USB 연결 전, 무조건 쓰기 방지 하기!!레지스트리 편집기 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > StorageDevicePolicies (없을 시 생성) > WriteProtect를 0에서 1로 변경* EnCase 사용 > Tools > FastBloc SE > Write-Block Mode > Write Protected/Blocked 1. 증거 USB의 ..

zip 파일 구조 (MS Office 파일의 구조와 동일)ZIP 파일은 데이터를 압축하고 보관하기 위한 파일 형식이다. Local File Header : 압축 파일에 대한 기본 정보가 포함됨. 압축 전후 파일 크기, 파일 수정 시간, CRC-32 체크섬, 파일 이름의 지역 포인터, 압축 해제에 필요한 아카이브 버전 등.File Name : 압축된 파일 이름 형식에 대한 임의의 길이와 바이트 순서를 나타냄. 65536 문자 길이를 초과할 수 없음.File Data : 임의의 길이로 구성된 바이트 배열 형태로 압축된 파일 컨텐츠. 파일이 비어있거나 디렉토리를 포함하는 경우엔 사용되지 않지만, 다음 Local File Header 제목은 해당 파일이나 디렉토리를 설명함. Central Directory : ..

파일 시그니처를 이어서 저장한 스테가노그래피스테가노 그래피(Steganography)메시지를 은밀히 숨기는 디지털 기법데이터 은폐 기술 중 하나로, 데이터를 다른 데이터에 삽입하는 기술 혹은 그 연구Practice1)헤더 시그니처가 FF D8 FF E0 이므로, JPG 즉, 이미지 파일이라는 것을 알 수 있다. JPG의 푸터 시그니처는 FF D9 인 것을 이용하여 검색해보자.푸터 시그니처 뒤에 문자가 더 있는 것을 확인하여, 숨겨진 글자를 찾을 수 있다. Practice2)헤더 시그니처가 89 50 4E 47 0D 0A 1A 0A 이므로, PNG 즉, 이미지 파일이라는 것을 알 수 있다. PNG의 푸터 시그니처는 49 45 4E 44 AE 42 60 82인 것을 이용하여 검색해보자.ZIP의 헤더 시그니처

파일 별 헤더 & 푸터 시그니처헤더 & 푸터 시그니처헤더(Header) 시그니처 : 파일의 처음에 존재하는 시그니처푸터(Footer or Tailer) 시그니처 : 파일의 마지막에 존재하는 시그니처File TypeHeader Sign (Hex)Footer Sign (Hex)JPEGFF D8 FF E0FF D8 FF E8FF D9GIF47 49 46 38 37 6147 49 46 38 39 6100 3BPNG89 50 4E 47 0D 0A 1A 0A49 45 4E 44 AE 42 60 82PDF25 50 44 46 2D 31 2E25 25 45 4F 46ZIP50 4B 03 0450 4B 05 06ALZ41 4C 5A 0143 4C 5A 01RAR52 61 72 21 1A 073D 7B 00 40 07 0..

비트로커 개념 및 복구키를 이용한 해제 방법비트로커(BitLocker)Windows OS에 내장된 HDD, USB와 같은 저장 매체를 암호화하여 데이터를 보호하는 기술로, FDE(Full Disk Encryption; 전체 디스크 암호화)라고도 한다.디바이스 전체나 파티션 전체를 암호화한다.TPM(Trusted Platform Module; 신뢰할 수 있는 플랫폼 모듈)을 사용하여 초기 시작 구성 요소의 무결성을 검사하는 암호화 방식이다. 기본적으로 128비트 키의 CBC 모드에서 AES 암호화 알고리즘을 사용한다. 비트로커 구성 절차1. Windows OS에서 Bitlocker를 하려는 장치(파티션)을 오른쪽 마우스를 눌러 과정을 수행한다.2. 패스워드를 설정한다.3. 복구 키를 저장한다. Micros..

FTK Imager) HxD)다음 섹터에 BOOTMGR 등이 있는 걸 봐서, 파일 시스템이 NTFS 라는 것을 추측할 수 있다. NTFS의 시그니처 (EB 52 90 4E 54 46 53)를 검색하여 내용을 찾는다. MBR의 부트코드는 부팅 용도가 아니라면 없어도된다. 파티션이 하나만 존재한다면, MBR이 필요 없다. 부트섹터의 시그니처는 마지막 2bytes가 '55 AA'인 것을 확인하면 된다.

FTK Imager)HxD) 1번 파티션) FAT32의 VBR 복구 섹터는 (해당 파티션 위치) + 6 sector에 존재한다. 80 00 00 00 (리틀엔디안) ➜ 00 00 00 80 (빅엔디안) ➜ 128 (10진수)1번 파티션의 시작 섹터는 128섹터라는 것을 알 수 있다. 1번 파티션의 VBR이 손상되어 있으며, 다음 섹터의 RRaA를 보고 파일 시스템이 FAT32라는 것을 다시 한 번 알 수 있다. 128 + 6 = 134 섹터2번 파티션)NTFS의 VBR 복구 섹터는 해당 파티션의 맨 마지막 섹터에 위치한다. 80 20 03 00 (리틀엔디안) ➜ 00 03 20 80 (빅엔디안) ➜ 204,928 (10진수)2번 파티션의 시작 섹터는 204,928섹터라는 것을 알 수 있다. 2번 파티..