나의 기록, 현진록

#pcap 파일 첨부 와이어샤크로 열어보자ㅏㅏㅏㅏㅏㅏㅏ 요약 정보를 먼저 확인 한다. 모두 80(http) 포트를 사용한다.눈에 띄는 이상을 확인할 수 없었다. Export HTTP object 확인하기 가장 먼저 한 눈에 알 수 있는 것은 conversations에서 확인한대로 모두 http 관련 정보이다. hostname은 microsoft에서 windows 업데이트를 한 것으로 추정된다. 일단 처음의 내용을 확인해보고자 html로 추출하려고 하였다. html ...... html 코드를 복사하여 추출한다. html 코드를 복사한 txt 파일을...... wizboard.html로 파일명과 확장명을 변경한다. html 파일을 열어 내용을 확인하면 microsoft의 update 다운로드 페이지인 것 ..

파일카빙 메타 데이터가 아닌 파일 자체의 헤더 시그니처 푸터 등의 바이너리 데이터를 이용하여 복구하는 방법 시그니처 기반 카빙 시그니처 기반 카빙 기법은 파일 포맷 별로 존재하는 시그니처를 이용하는 방법이다. 시그니처는 파일 시작 부분에 위치하는 헤더 시그니처와 파일 마지막에 존재하는 푸터 시그니처가 있다. 따라서 헤더 푸터 시그니처 모두 존재하는 파일의 경우 두 시그니처 사이의 데이터가 파일 내용이 될 것이다. 하지만 시그니처 기반 카빙의 경우 파일을 구분하는 시그니처의 크기가 작거나 일반적인 경우 파일 내용의 바이트 스트림에서도 같은 값이 존재할 가능성이 있기 때문에 많은 오탐이 발생할 수 있다. 램 슬랙 카빙 램 슬랙은 램의 내용을 디스크에 기록할 때 크기가 서로 맞지 않은 공백은 0x00으로 채워..

메모리 포렌식메모리 포렌식은 디지털 포렌식에서의 사고 대응(Incident Response) 방안 중에 하나로 가장 먼저 휘발성의 특징을 가지고 있는 메모리에 대해서 정보를 수집하는 것이다. 메모리 포렌식의 필요성메모리 포렌식은 최근 주목을 받고, 그에 따른 연구가 활발하게 이루어지고 있다. 그 이유는 어떠한 프로그램이 실행될 때 CPU에 의해서 수행되고, CPU는 메모리인 RAM에 데이터가 적재되어야만 CPU에서 연산이 가능하기 때문이다. 이러한 컴퓨터 시스템의 특성으로 인해 메모리에는 파일이 실행되는 과정이나 실행되었던 특유의 정보가 존재한다. Live Response(Live Data)와 차이점 Live Response(Live Data) Memory API에 의존하여 영향을 받기 쉽다. API에 ..

디지털 포렌식 forensic(법의학적인, 범죄 과학 수사의...)은 범죄를 밝혀내기 위한 과학적 수단이나 방법, 기술 등을 포괄하는 개념이다. 디지털 포렌식은 컴퓨터 법의학이라고도 표현할 수 있으며, 전자적 증거물을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 사이버 범죄 추적 및 조사에도 핵심적인 요소가 되고 있다. 주로 침해사고 대응과 분석에 이용한다. 다양한 포렌식 기법1. 메모리 포렌식 휘발성이 강하지만 고유의 독특한 정보가 많이 존재하는 RAM에 남아 있는 악성코드 감염과 관련된 다양한 흔적(파일 실행, 네트워크 접속 및 프로세스 정보 등)을 분석하는 기법이다. 2. 레지스트리 포렌식 일반적으로 대부분의 악성코드는 감염된 시스템이 재부팅을 하거나 시..