저미 보안공부

침해사고대응[사고 전 준비 과정]→[사고 탐지]→[초기 대응]→[대응 전략 체계화]→[사고 조사]→[보고서 작성]→[복구 및 해결]사고 전 준비탐지 체계 수립, 로그 정책 설정, 백업사고 탐지이상 징후, 알림, 침해지표(IoC) 분석초기 대응감염 확산 방지, 시스템 격리전략 체계화피해 범위 확인, C2 차단, 대응 방식 결정사고 조사 (포렌식)로그, 트래픽, 시스템 증거 분석보고서 작성원인, 경과, 대응 및 복구 내용 문서화복구 및 예방손상 복원, 패치 적용, 보안 강화 증거 수집/분석로그, 네트워크, 파일 등에서 침입 흔적 추적공격 방법 분석침입 경로, 악성코드 동작, 탈취된 정보 확인법적 대응 지원절차적 정당성 + 무결성 확보 → 증거능력 확보복구 방향 제시손상 위치 파악 → 정확한 기술 복구 가능보..

네트워크1) SYN Flooding 공격SYN Flooding은 TCP 3way 핸드셰이크 중 ACK 단계를 생략해 서버를 연결 대기 상대로 고정시키는 DoS 공격공격자가 대량의 SYN 패킷을 보내고 응답하지 않으면 서버는 계속 리소스를 점유하게 되고 정상 사용자의 접속이 거부된다.대표적인 방어 기법은 SYN Cookies로 서버가 실제로 연결 정보를 저장하지 않고 응답을 임시 처리하는 방식* 3way 핸드셰이크 : C가 S에 SYN 요청 → S가 C에 SYN+ACK 응답 → C가 S에 ACK 확인 2) DDoS 개념 및 SYN Flood 연계DDoS는 여러 대의 공격자가 동시에 특정 서버에 대량의 요청을 보내 자원을 고갈시켜 정상적인 서비스 제공을 막는 공격이 중 SYN Flooding은 TCP 연결 ..

1) A 사건 수사 중 B 사건 흔적을 발견했을 때 어떻게 대처할까? 해당 수사의 압수수색 영장이 A 사건 관련 디지털 증거 수집만을 허용한 경우 수사 중 B 사건 정황을 발견하더라도 그 내용을 바로 수사하거나 제출하면 위법 수집이 될 수 있다. 반드시 수사 책임자에게 상황을 보고하고 정식으로 추가 압수수색 영장을 신청해 확보 범위를 확대해야 한다. 2) 선별 압수수색전자정보처럼 디지털 증거가 방대한 경우, 현장에서 전체 디스크나 저장장치를 일괄 이미징한 뒤, 수사기관과 피의자 측 변호인이 함께 참여한 상태에서 필요한 정보만 골라내어 압수하는 방식* 미란다 원칙 : 진술과정에서 변호사 선임권, 진술 거부권을 고지하지 않고 받은 진술은 증거로 채택될 수 없다는 원칙인데 압수수색할 때는 필요가 없고 진술을 ..

비트로커1) 비트로커와 비트로커 걸린 PC 분석Windows 에서 제공하는 전체 디스크 암호화 기능Vista 이후 버전부터 사용 가능TPM, 패스워드, USB 키 등으로 잠금 해제 필요기밀성과 무결성 보장 Windows 10/11 Pro부터 비트로커 메뉴가 기본 내장됨 2) 분석 방식디스크가 복호화된 상태인지, 잠긴 상태인지에 따라 달라진다.복호화된 상태에서는 FTK Imager 같은 도구로 논리 볼륨 이미지를 추출해 분석 가능잠긴 상태에서는 RAM(휘발성 메모리) 덤프를 확보할 뒤 Volatility 같은 메모리 분석 도구로 복호화 키를 추출해야 한다.TPM이 키를 관리하고 AES 기반으로 디스크를 암호화하기 때문에 복호화 키 없이는 직접 접근이 어렵다.도구를 사용하여 부팅된 상태에서 메모리 수집을 ..

1) 섹터, 클러스터, 실린더, 블록섹터(Sector)디스크에서 가장 작은 저장 단위 (보통 512 byte 또는 4096 byte)클러스터(Cluster)하나 이상의 섹터로 구성된 단위. 파일 시스템에서 사용하는 최소 할당 단위블록(Block)주로 유닉스 계열(ext4 등)에서 사용하는 저장 단위, 클러스터와 유사실린더(Cylinder)하드디스크에서 트랙들의 수직 결합 단위, 요즘은 논리적 의미로만 사용됨 (HDD 구조 개념) 2) 포렌식 5원칙디지털 포렌식에서 가장 중요한 건 증거의 법적 효력을 보장하는 것정당성 : 법적 절차에 따라 영장 등을 기반으로 증거 수집무결성 : 해시값을 통해 수집 전후 데이터가 변조되지 않았음을 증명재현 가능성 : 표준화된 절차를 따르면 누구나 같은 결과 도출신속성 : 휘..

1) 파일시스템 손상 시 복구파일 시스템이 손상되었을 땐 먼저 디스크 전체 이미징을 통해 원본을 보존이후 복구 방식은 파일 시스템 구조에 따라 달라진다.NTFS나 ext4처럼 메타데이터가 구조적으로 잘 잡힌 경우는 MFT나 inode 기반으로 파일 위치를 추적할 수 있다. 메타데이터까지 손상되었다면 시그니처 기반 카빙으로 파일의 시작과 끝 패턴을 추적하거나 저널링 구조가 있다면 분석하여 상태 복원 시도 2) 파일 카빙 vs 메타데이터 기반 복구 메타데이터 기반 복구는 MFT나 inode 처럼 파일의 위치, 크기, 속성 등을 추적할 수 있는 정보를 바탕으로 진행, 정확도와 신뢰도가 높고 단편화된 파일도 잘 복구된다. 파일 카빙은 시그니처 기반으로 시작과 끝을 찾아 복원하는 방식이라 단편화에 취약하고 오탐..

1) APFS 정의APFS는 Apple이 macOS, iOS 용으로 개발한 파일 시스템데이터 무결성과 효율적 저장을 중점에 두고 설계되었다.대표 기능으로는 Copy on Write 기반 구조, 스냅샷 지원, 파일 단위 암호화 그리고 공간 공유가 있다.컨테이너와 볼륨 구조로 유동적인 볼륨 관리가 가능하다. B-Tree 구조로 메타데이터 저장 2) APFS의 컨테이너-볼륨 구조 하나의 컨테이너는 물리 디스크에 해당하며 그 안에 여러 개의 볼륨 생성각 볼륨은 컨테이너 내부의 저장 공간을 유동적으로 공유한다.예를 들어 어떤 볼륨에서 공간이 줄어들면 그 여유 공간을 다른 볼륨이 자동으로 사용할 수 있어서 효율적인 저장소 관리 가능 3) CoW vs AoWCoW는 기존 데이터를 그대로 둔 채, 새로운 블록에 복사한..

1) EXT4 파일시스템 특징ext4는 리눅스에서 가장 많이 쓰이는 저널링 파일 시스템extents 구조로 단편화를 줄이고, journal과 bitmap, inode를 통해 복구와 추적 용이특히 나노초 단위 타임스탬프를 지원하여 타임라인 정밀도가 높다. 2) Extents와 Block Pointer 차이ext4 이전에 사용된 block pointer 방식은 파일이 사용하는 모든 블록 주소를 개별 포인터로 관리한다. extents는 연속된 블록 범위를 하나의 구조체로 묶어 저장한다. 그래서 단편화가 적고, 대용량 파일 처리에 효율적이며 메타데이터도 간결해진다. 3) ext4에서 저널이 저장되는 형식파일 시스템 변경 전의 메타데이터 정보를 트랜잭션 단위로 기록한다. 저널은 일반적으로 파일 시스템 내부에..

1) FAT32 vs NTFS FAT32구조가 단순하고 USB, SD 카드 등 외부 저장 장치에 적합최대 파일 크기가 4GB로 제한되고 저널링이나 권한 관리 같은 고급 기능이 없음NTFSMFT 기반 구조를 가지고 저널링, 권한 관리, 대용량 파일 처리 등 보안성과 안정성 면에서 훨씬 강력해서 운영체제나 시스템 디스크에 주로 사용 2) FAT32 4GB 제한 이유FAT32는 32비트 주소 체계 기반이라, 하나의 파일 크기를 표현할 수 있는 범위가 232 - 1, 즉 4GB - 1 바이트로 제한된다.그래서 대용량 영상이나 백업 파일처럼 4GB를 넘는 파일은 FAT32에서 저장이 불가능해서 NTFS 파일 시스템을 사용한다. 3) NTFS 구조NTFS는 Windows에서 사용하는 고급 파일 시스템으로 보안성과..

1) 정의파일 시스템은 운영체제가 저장 장치에서 파일을 저장하고, 조회하고, 관리할 수 있도록 구성한 논리적 구조파일 이름, 크기, 시간 정보, 저장 위치 같은 메타데이터를 포함디렉터리 구조, 권한, 공간 할당 방식도 파일 시스템마다 다르게 정의대표적으로 FAT32, NTFS, ext4, APFS 등디지털 포렌식에서는 이 구조를 이해해야 삭제 파일 복구, 타임라인 분석, 클러스터 추적 등이 가능 2) 구조 NTFSVBR, MFT, 데이터 영역으로 구성모든 파일과 디렉터리의 메타데이터를 MFT에 저장LogFile을 통해 저널링 기능 지원FAT32FAT 테이블을 사용해 클러스터 연결 정보를 관리하는 구조구조는 단순하고 호환성은 좋지만 저널링 기능을 지원하지 않고 최대 파일 크기가 4GB로 제한이런 차이 때문..