훈훈훈

1. 개요 이번 실습에서는 윈도우 운영체제 아티팩트 중 바로가기 파일 분석을 하려고한다.실습 대상 파일인 .Ink 확장자 파일을 수집하여 분석을 진행하였다. 2. 바로가기(.Ink) 파일 바로가기 파일은 윈도우 운영체제에만 존재하며 응용프로그램, 디렉터리, 파일 등 객체를 참조한다.이 파일은 .Ink 확장자를 가지며 오직 GUI 에서만 동작한다. 리눅스 운영체제에서는 이와 비슷한 기능으로 심볼릭 링크가 존재한다. 3. 바로가기(.Ink) 파일 분석과정 1) 분석환경 Windows 7 64bit 이미지 파일을 이용하여 실습을 진행하였다. 해당 이미지는 RAT에 감염된 파일이고 피 파일은 K-Shield Jr 분석대응 과정 강의에서 제공되었다. 2) 분석도구 - WinHex 19 Portable - UFTL..

1. 개요 이번 실습에서는 윈도우 운영체제 아티팩트 중 웹 아티팩트 분석을 하려고한다. 분석 대상으로는 웹 브라우저 캐시, 히스토리, 다운로드 목록 3가지를 선정하였다. 2. 웹 아티팩트 웹 브라우저에서 사용자 행위로 인해 웹 애플리케이션과 웹 브라우저가 통신하면서 생긴 흔적을 발견할 수 있다.예를 들어 용의자PC인 경우 범행 동기, 계획, 내용 등을 확인할 수 있고 피해자PC인 경우 악성코드 유입 경로등을 알 수 있다.웹 브라우저 캐시는 웹 사이트 방문 시 추후 로딩 속도 향상을 위해 사이트로부터 자동으로 다운받은 컨텐츠이다.웹 히스토리는 웹 사이트 방문 시 웹 사이트 정보를 월/일로 분류하여 저장한다. 웹 다운로드 목록은 사용자가 다운로드 한 파일로 사용자 의도와 관련 없이 다운되는 캐시와 구분된다...

1. 개요 이번 실습에서 윈도우 운영체제 아티팩트 중 파일시스템 로그분석을 하려고한다.대상 파일로는 $MFT, $Logfile, $J 이 3가지 파일을 대상으로 진행하였다. 2. 파일시스템 로그 파일시스템 로그는 파일 IO, 트랜잭션, 수정 등에 대한 로그를 나타낸다. 이 로그는 운영체제가 직접 수행하는 것이 아닌 파일시스템에서 기록하는 로그이다. NTFS의 경우에 대해 다음을 살펴보자.- $Logfile 시스템 비 정상 동작을 대비하기 위한 트랜잭션 로그로 파일 생성/삭제/수정/파일명 변경 등 기록- $UsnJrnl$J 파일이나 디렉터리의 속성 변경 내용을 기록, 용량 제한 0(기본 설정 용량 : 64MB) 3. 파일시스템 로그 분석1) 실습환경 Windows 7 64bit 이미지 파일을 이용하여 실습..

1. Volatility 소개 Volatility 는 오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구이다.비슷한 기능을 제공하는 도구로는 구글에서 제작한 ReKall, 멘디언트에서 제작한 Redline 등이 있다. 2. Volatility 플러그인 이번 분석에서 사용할 Volatility 플러그인 외 몇 가지 플러그인을 추가로 기능들을 정리했다.- pstree : 프로세스를 트리구조로 출력- pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)- psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소)- psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 등을 조회- procdump : 프로세스 실행파일 추출- memdump : 프로세스가 사용..

1. 메모리 수집 목적 메모리 수집 기법은 디지털 포렌식과 침해사고 대응에 많이 활성화 되어있는 기법이다.메모리 수집의 장점은 사용자의 행위에 대한 정보를 얻을 수 있다. 사용자가 실행한 프로그램, 네트워크 사용, 읽은 파일, 로그인 기록 등 행위에 기반한 정보들을 획득할 수 있다. 2. 메모리 수집 방법- 하드웨어를 이용한 덤프 : 이 기능을 지원하는 PC만 사용하기 때문에 최근에는 잘 사용하지 않는다.- 소프트웨어를 이용한 덤프 : 가장 많이 쓰이는 방법이지만 덤프하기 위해 실행한 소프트웨어도 메모리에 저장된다는 단점이 있다.- 크래시 덤프 : 침해사고 대응에서는 사용하지만 디지털 포렌식에서는 활용도가 낮은 방법이다.- 절전모드 덤프 : 절전모드시 사용- 가상화 시스템 덤프 : 가상머신으로 서버를 구..

본 게시글은 http://forensic-proof.com 블로그를 참고하여 작성된 글 입니다. 1. 비활성 데이터란 ? 비활성 데이터는 현재 데이터의 변동이 없는 데이터이다. 따라서 기기의 on & off 에 영향을 받지 않는다.비활성 데이터 분석은 주로 기기의 저장매체를 이미징을 한 후 하는게 일반적이다.하지만 최근에 대용량 저장매체가 보편화되면서 이미징의 시간 또한 증가하게 되었다.따라서 이미징을 한 후 분석하는것은 효율성이 많이 떨어진다고 볼 수 있다. 그래서 라이브 포렌식 시 활성 데이터를 수집하는 동시에비활성 데이터 수집도 같이 진행을 한다. 2. 비활성 데이터 종류- $MFT (파일시스템 메타데이터)- $Logfile, $UsnJrnl:$J (파일시스템 로그)- 웹 아티팩트 (웹 브라우저 캐..

1. 활성 데이터란 ? 증거를 수집할때 전원이 꺼진 기기를 수집하는 경우도 있지만 전원이 켜진 기기를 수집하는 경우도 있다.이때 전원이 켜진 기기의 물리메모리(RAM)는 휘발성 메모리를 갖고 있다. 이 데이터는 사건을 해결하는데 중요한 역할을 할 수 있는데 이러한 데이터를 활성 데이터라고 한다. 이러한 활성 데이터 수집관 관련된 활동을 라이브 포렌식이라 한다. 2. 활성 데이터 종류 - 실행 중인 프로세스 - 연결 중인 프로세스 - 현재 로그인 사용자 - 현재 시스템 리소스 상황 - 현재 전송 중인 패킷 - 클립보드에 저장된 데이터 - 기타 3. 활성 데이터 수집1) 수집 도구 : 수집 도구로는 Plainbit사에서 제작한 BITLive_win 툴을 이용하였다. 해당 툴은 깃허브에서 다운받을 수 있다. ..

이번 자료는 K-shieldjr 분석대응 과정에서 악성코드 분석파트를 맡아주신 누리랩 최원혁 대표님께 동의를 받고 강의 내용 중 복습을 위해 정리한 내용입니다. 1. 분석 대상: 미켈란젤로 바이러스 * 특징 1) 플로피 및 하드디스크 MBR 감염 2) 주메모리를 2KB 축소 3) INT13h 후킹 ( INT13h : 하드웨어 관련 인터럽트 ) 4) 3월 16일 되면 하드디스크 파괴 2. 분석 목표: 부트 바이러스의 시초라고 할 수 있는 미켈란젤로 바이러스 분석을 통해 부트 바이러스의 동작 패턴을 파악한다. 3. 분석 과정 1) 악성코드 진입 michelangelo segment byte public assume cs:michelangelo, ds:michelangelo; Disassembly by Dar..