분류 전체보기

    [Quiz] 이벤트 로그 확인 및 구조체 분석

    Quiz 1. 주어진 EVTX 파일의 파일 헤더(File Header)를 분석하세요. Offset Size Value Description 0 8 "ElfFile\x00" Signature 8 8 First chunk number 16 8 Last chunk number 24 8 Next record identifier 32 4 128 Header size 36 2 Minor format versionSee section: Format versions 38 2 Major format versionSee section: Format versions 40 2 4096 Header block size(or chunk data offset) 42 2 Number of chunks 44 76 Unknown (Em..

    [리버싱] IDA 타입 캐스팅 및 구조체 적용

    IDA 도구에 대한 사용 방법과, 디컴파일된 코드를 여러 기능을 통해 원본 코드와 비슷한 코드로 복구하는 실습을 진행했다. #include #include #pragma warning(disable:4996) struct Human { char name[50]; int age; char gender; char email[50]; }; int main(int argc, char** argv) { Human human; strcpy(human.name, "tonix"); human.age = 24; human.gender = 'M'; sprintf(human.email, "%s@gmail.com", "tonix0114"); printf("%s %d %c %s", human.name, human.age, hu..

    [Practice] NTFS Log Tracker ($LogFile, $UsnJrnl:$J, $MFT)

    Practice #1 $LogFile, $UsnJrnl:$J, $MFT를 수집하세요. $MFT 파일의 내용을 해석하여 목록을 확인해봅니다. $MFT 추출 운영체제가 설치된 Physical Drive의 Basic data partition → root 경로에 존재한다. $LogFile 추출 $LogFile 또한 Basic data partition → root 경로에 존재한다. $UsnJrnl → $J : 롤백을 위해 이벤트 발생 시 저장. $J 파일은 Basic data partition → root -> $Extend -> UsrJrnl에 있다. Practice #2 #1에서 수집한 3개의 파일을 NTFS Log Tracker 도구를 이용하여 분석해 보세요. blueangel's ForensicNote..

    [Quiz & Practice] 디스크 논리 구조 (MFT)

    1 Quiz. 자신의 환경에서 30번 MFT 엔트리 정보를 확인하세요. VBR 구조체 → MFT의 시작 클러스터 확인 MFT의 시작 클러스터 : 0xC0000(786432) MFT의 시작 섹터 : 786432*8 = 6291456 6291456 섹터로 가면 FILE0 시그니처가 보인다. 0xC0000000부터 MFT 시작 주소임을 알 수 있다. 30번 MFT 엔트리 시작 주소 : 0xC0007800 Fixup Array 시작 위치 : 0xC0007830 LSN ($Logfile Sequence Number) : 0x0000000E660E10FF Sequence Number : 0x0001 첫번째 속성의 오프셋 주소 : 0x0038 Flag : 0x0003 MFT 엔트리 크기 : 0x000001D8 할당된..

    [Practice] USB 디스크 이미지 수집 실습

    FTK Imager 수집 도구를 이용한 USB 디스크 이미지 수집 실습이다. Download FTK Imager Version 4.7.1 - Exterro Exterro’s Legal Governance, Risk and Compliance (GRC) solutions enable you to address your privacy, compliance, investigation and litigation risks more effectively and at lower costs. www.exterro.com 위 링크에서 FTK Imager를 다운로드한다. 1. PHYSICALDRIVE2 - SanDisk 선택 2. E01 타입 선택 3. 정보 입력 4. 저장 경로 및 Fragment Size 입력 5. ..

    [Practice] 소프트웨어 쓰기 방지

    윈도우 운영체제에서 레지스트리를 이용하여 소프트웨어적으로 쓰기를 방지할 수 있다. HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect DWORD, 1 위 사진 경로의 레지스터 키(WriteProtect) 값을 1로 설정한다. 해당 경로에 키 값이 없다면, 위와 같이 만들어주면 된다. 이후, 외부 보조 저장장치 재연결 이후 쓰기 시도 테스트 → 차단 확인 필자는 USB(E:) 로 실습했다.

    [Quiz] 디스크 논리 구조 (Cluster, Sector, GPT, VBR)

    #1 Quiz. 100111(2) = 39(10) 65(10) = 41(16) ABC(16) = 1010 1011 1100(2) DEF(16) = 3,567(10) 321321(10) = 0100 1110 0111 0010 1001(2) 111100(2) = 3C(16) #2 Quiz. 아래 하이라이팅된 문자는 몇 비트(bit)인가요? 7bit 1 바이트(byte)가 표현 가능한 모든 수는 몇 개인가요? 256개 숫자형 데이터 ‘0x987654’를 각각 빅-엔디안, 리틀-엔디안으로 표현하세요. 빅 엔디안? : 98 76 54 (0x987654) 리틀 엔디안? : 54 76 98 (0x547698) #3 Quiz. MBR 파티션으로 포맷된 윈도우 운영체제가 설치된 디스크 ①UEFI BIOS 상에서 사용 가..

    [Forensic] 대검찰청, 경찰청, 공정 거래 위원회 조사 증거 수집 및 분석 규정

    대검찰청 제 1조(목적) 이 규정은 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체(이하 ‘정보저장매체등’ 이라고 한다)로부터 디지털 증거를 수집·보존·분석·현출 및 관리하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다. 제 4조 : 적법절차의 준수 제 5조 : 원본성 유지 제 6조 : 무결성 유지 제 7조 : 신뢰성 유지 제 8조 : 연계보안성 유지 제 9조(디지털포렌식 수사관의 자격) 디지털포렌식 수사관은 다음 각 호의 자격요건을 갖추고 3개월 이상 디지털포렌식 수사 실무를 수행한 자 중에서 임명한다. 대검찰청 디지털수사과(이하 ‘디지털수사과’라고 한다)에서 실시하는 "디지털포렌식 전문가 양성과정"의 교육을 이수한 자 ..