Security/Forensic
JPEG와 EXIF의 GPS data (위도, 경도)
JPEG와 EXIF의 GPS data (위도, 경도)
2018.07.07일반적인 위도(Latitude), 경도(Longitude) 표기법위도가 N. 위도가 위로부터(북극) 얼마나 떨어져 있는지 이므로.경도가 E. 37°28'46.912000000011247"N 126°52'45.631999999983037"E인 좌표에서 위도를 십진수 도(DD)로 환산하면 다음과 같다.\\(46.912000000011247/60 = 0.78186666666685411666666666666667\\)\\((28+0.78186666666685411666666666666667)/60 = 0.47969777777778090194444444444444\\)\\(37+0.47969777777778090194444444444444 = 37.47969777777778090194444444444444\\) ..
저장매체 이미징 ( dd )
저장매체 이미징 ( dd )
2017.11.01저장매체 복제아예 비트스트림을 똑같이 복제해서 똑같은 내용의 하드를 하나 더 만드는 것.비할당 영역이나 슬랙도 모두 복제되지만, 그냥 같은 내용의 하드가 하나 더 생기는거라 분석하려면 어차피 이미징해야 편하다. 저장매체 이미징모든 물리적인 섹터를 파일 형태로 만들어 저장하는 것. 비할당 영역이나 슬랙 공간도 모두 저장되기 때문에 이를 사용해야 한다.vmdk를 hdx에 올려서 보는 것도 이미징 파일을 보는 것과 비슷하다고 볼 수 있다. 윈도우에서는 FTK Imager / dd리눅스에서는 dd를 사용할 수 있다. ```bash# dd if=/dev/sdb2 of=./sdb2.iso``` dd 사용법
클러스터, 섹터, 슬랙 ( Cluster, Sector, Slack )
클러스터, 섹터, 슬랙 ( Cluster, Sector, Slack )
2017.11.01Sector디스크는 IO 명령을 받으면, 1 sector 단위로 IO하게 된다.즉, 물리적으로 디스크가 IO하는 단위이며 따라서 실제로 디스크에 IO하게 되는 최소 크기는 1 sector다.보통 1 Sector = 512 bytes. ClusterOS에서 디스크에 접근하기 위해 사용하는 파일시스템에서 IO하는 단위.파일시스템에서는 IO횟수를 줄이기 위해 Sector 단위로 관리하지 않고 Sector들을 묶어 Cluster로 관리한다.따라서 파일시스템에서 IO 명령을 내리는 최소 단위는 1 Cluster가 된다.파일시스템에 따라 다르지만, 보통 8 sectors를 묶어 1 Cluster = 4 KB Slack이런 식으로 파일의 실제 크기와 디스크 최소 IO 크기, 파일시스템 최소 IO 크기가 차이가 나기 ..
파일 카빙 ( File Carving )
파일 카빙 ( File Carving )
2017.11.01파일 카빙 ( File Carving )metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, ...)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 기법.* 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다. http://forensic.korea.ac.kr/DFWIKI/index.php/데이터_복구 헤더, 푸터 시그니처를 모두 갖는 파일 포맷파일 포멧시그니처헤더(Hex)푸터(Hex)JPEGFF D8FF D9GIF]47 49 46 38 37 61 ("GIF87a")00 3B47 49 46 38 39 61 ("GIF89a")PNG89 50 4E 47 0D 0A 1A 0A49 45 4E 44 AE 42 60 82PDF25 50 4..
Volatility
Volatility
2017.10.27installstandalone 보다는 Source code로 직접 받아야 profile을 추가할 수 있다.Source code 압축 해제하면 `` setup.py``가 있는데 ``py import volatility``할거 아니면 안하는게 좋다.그냥 디렉토리 적당한 곳으로 옮기고, `` vol.py``에 symlink 걸어서 사용하면 끝이다. profile 추가Windows profile은 기본적으로 같이 설치되지만 LInux profile은 포함되어 있지 않다.`` --profile``옵션을 지정해주어야 분석이 가능하기 때문에 추가해주어야 한다.* 이미지가 Volatility에 없는 profile인 경우 결과를 출력하기 까지 굉장히 오래 걸린다.* 모든 profile을 추가하면 volatility가 ..
Prefetch, Superfetch
Prefetch, Superfetch
2016.09.07Prefetch프리패치(Prefetch)는 윈도우 XP 이후 운영체제에서 제공하는 메모리 관리 정책으로, 실행파일을 메모리로 로딩할 때의 효율을 최대한 끌어올리기 위한 목적으로 개발되었다. 실행 파일이 사용하는 시스템 자원을 프리패치 파일(.pf)에 저장해 두었다가, 부팅 시에 프리패치를 모두 메모리에 로드하는 방식이다. (실제 사용할 때에는 메모리 매핑 해주는 방식) 프리패치 파일에 저장되는 정보 중 분석에 유용한 목록은 아래와 같다. 실행 파일 이름실행 파일의 실행 횟수실행 파일의 마지막 실행 시간프리패치 파일의 생성 시간(파일 최초 실행 시간)실행된 볼륨의 정보실행파일 실행 시 참조하는 파일의 목록 하지만 프리패치의 사용은 메모리의 페이징 아웃 기법(오래 사용되지 않는 메모리 영역을 잠시 보조저장장..
Windows 악성코드 감염시 처리 프로세스
Windows 악성코드 감염시 처리 프로세스
2016.09.07초기 분석프로세스 확인네트워크 패킷 확인system32 확인host파일 변조 확인레지스트리 확인 주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.*Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다. 이후 여러 툴을 이용해 상세 분석하고, 악성코드 식별 시 리버싱. svchost`` svchost.exe``는 프로세스 하나 당 서비스 하나를 실행시키는 프로세스로, 반드시 `` winlogin.exe - services.exe``의 자식 프로세스로 존재해야 한다.단독으로 존재하거나, 실행 레벨이 `` services.exe``와 동급이라면 악성코드일 가능성이 크다.windows 7으로 넘어오면, `` wininit.exe - services..
USB 사용 기록 조사
USB 사용 기록 조사
2016.09.06```bashEvent viewer -> system32 log (%SystemRoot%\inf\Setupapi.dev.log) -> registry```순으로 확인한다.이벤트 뷰어랑 log는 기록이 누락되어 있는 경우가 잦다.레지스트리를 직접 보려면 레지스트리 분석 도구를 이용해야 하기 때문에 어차피 도구를 이용할 거라면USBDeview를 이용해서 보는 편이 낫다. USB Device Tracking Artifacts on Windows 7, 8(RP) Artifacts Path Vendor & Product Name, Version HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\Disk&Ven_{Vendor Name}&Prod_{Product Name}&Rev_{Version}..
Tools - Forensic
Tools - Forensic
2016.09.05이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.