전체 글

RF Replay Attack - 자동차 리모트키

RF(Radio Frequency)란? RF란 Radio Frequency의 약자로 무선 주파수를 통해 정보를 교환하는 통신 방식이다. Radio, TV, Wi-Fi, Bluetooth 등 우리가 흔하게 사용하는 기기에서 RF 통신을 사용한다. 또한, 최근 IoT(자동차 스마트키, 드론, 스마트 도어락, 주차장 차단기 등)에도 RF 통신이 많이 사용되고 있다. 기후와 환경이 좋지 않더라도 주파수의 신호를 정확히 전달하는 장점을 가지고 있다. RF Replay Attack 위에서 설명한 RF를 재전송하여 공격자가 특정 기기의 행위를 발생시킬 수 있는 공격이다. HackRF one을 통해 특정 주파수 대역을 확인할 수 있다. 따라서, 악의적인 공격자는 기기간의 데이터 통신을 가로채어 재전송하여 특정 기기에게..

[Quiz] 이벤트 로그 확인 및 구조체 분석

Quiz 1. 주어진 EVTX 파일의 파일 헤더(File Header)를 분석하세요. Offset Size Value Description 0 8 "ElfFile\x00" Signature 8 8 First chunk number 16 8 Last chunk number 24 8 Next record identifier 32 4 128 Header size 36 2 Minor format versionSee section: Format versions 38 2 Major format versionSee section: Format versions 40 2 4096 Header block size(or chunk data offset) 42 2 Number of chunks 44 76 Unknown (Em..

[리버싱] IDA 타입 캐스팅 및 구조체 적용

IDA 도구에 대한 사용 방법과, 디컴파일된 코드를 여러 기능을 통해 원본 코드와 비슷한 코드로 복구하는 실습을 진행했다. #include #include #pragma warning(disable:4996) struct Human { char name[50]; int age; char gender; char email[50]; }; int main(int argc, char** argv) { Human human; strcpy(human.name, "tonix"); human.age = 24; human.gender = 'M'; sprintf(human.email, "%s@gmail.com", "tonix0114"); printf("%s %d %c %s", human.name, human.age, hu..

[Practice] NTFS Log Tracker ($LogFile, $UsnJrnl:$J, $MFT)

Practice #1 $LogFile, $UsnJrnl:$J, $MFT를 수집하세요. $MFT 파일의 내용을 해석하여 목록을 확인해봅니다. $MFT 추출 운영체제가 설치된 Physical Drive의 Basic data partition → root 경로에 존재한다. $LogFile 추출 $LogFile 또한 Basic data partition → root 경로에 존재한다. $UsnJrnl → $J : 롤백을 위해 이벤트 발생 시 저장. $J 파일은 Basic data partition → root -> $Extend -> UsrJrnl에 있다. Practice #2 #1에서 수집한 3개의 파일을 NTFS Log Tracker 도구를 이용하여 분석해 보세요. blueangel's ForensicNote..

[Quiz & Practice] 디스크 논리 구조 (MFT)

1 Quiz. 자신의 환경에서 30번 MFT 엔트리 정보를 확인하세요. VBR 구조체 → MFT의 시작 클러스터 확인 MFT의 시작 클러스터 : 0xC0000(786432) MFT의 시작 섹터 : 786432*8 = 6291456 6291456 섹터로 가면 FILE0 시그니처가 보인다. 0xC0000000부터 MFT 시작 주소임을 알 수 있다. 30번 MFT 엔트리 시작 주소 : 0xC0007800 Fixup Array 시작 위치 : 0xC0007830 LSN ($Logfile Sequence Number) : 0x0000000E660E10FF Sequence Number : 0x0001 첫번째 속성의 오프셋 주소 : 0x0038 Flag : 0x0003 MFT 엔트리 크기 : 0x000001D8 할당된..

[Practice] USB 디스크 이미지 수집 실습

FTK Imager 수집 도구를 이용한 USB 디스크 이미지 수집 실습이다. Download FTK Imager Version 4.7.1 - Exterro Exterro’s Legal Governance, Risk and Compliance (GRC) solutions enable you to address your privacy, compliance, investigation and litigation risks more effectively and at lower costs. www.exterro.com 위 링크에서 FTK Imager를 다운로드한다. 1. PHYSICALDRIVE2 - SanDisk 선택 2. E01 타입 선택 3. 정보 입력 4. 저장 경로 및 Fragment Size 입력 5. ..

[Practice] 소프트웨어 쓰기 방지

윈도우 운영체제에서 레지스트리를 이용하여 소프트웨어적으로 쓰기를 방지할 수 있다. HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect DWORD, 1 위 사진 경로의 레지스터 키(WriteProtect) 값을 1로 설정한다. 해당 경로에 키 값이 없다면, 위와 같이 만들어주면 된다. 이후, 외부 보조 저장장치 재연결 이후 쓰기 시도 테스트 → 차단 확인 필자는 USB(E:) 로 실습했다.