목록분류 전체보기 (106)
훈훈훈
1. 개요 이번 실습에서 윈도우 운영체제 아티팩트 중 파일시스템 로그분석을 하려고한다.대상 파일로는 $MFT, $Logfile, $J 이 3가지 파일을 대상으로 진행하였다. 2. 파일시스템 로그 파일시스템 로그는 파일 IO, 트랜잭션, 수정 등에 대한 로그를 나타낸다. 이 로그는 운영체제가 직접 수행하는 것이 아닌 파일시스템에서 기록하는 로그이다. NTFS의 경우에 대해 다음을 살펴보자.- $Logfile 시스템 비 정상 동작을 대비하기 위한 트랜잭션 로그로 파일 생성/삭제/수정/파일명 변경 등 기록- $UsnJrnl$J 파일이나 디렉터리의 속성 변경 내용을 기록, 용량 제한 0(기본 설정 용량 : 64MB) 3. 파일시스템 로그 분석1) 실습환경 Windows 7 64bit 이미지 파일을 이용하여 실습..
1. Volatility 소개 Volatility 는 오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구이다.비슷한 기능을 제공하는 도구로는 구글에서 제작한 ReKall, 멘디언트에서 제작한 Redline 등이 있다. 2. Volatility 플러그인 이번 분석에서 사용할 Volatility 플러그인 외 몇 가지 플러그인을 추가로 기능들을 정리했다.- pstree : 프로세스를 트리구조로 출력- pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)- psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소)- psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 등을 조회- procdump : 프로세스 실행파일 추출- memdump : 프로세스가 사용..
1. 메모리 수집 목적 메모리 수집 기법은 디지털 포렌식과 침해사고 대응에 많이 활성화 되어있는 기법이다.메모리 수집의 장점은 사용자의 행위에 대한 정보를 얻을 수 있다. 사용자가 실행한 프로그램, 네트워크 사용, 읽은 파일, 로그인 기록 등 행위에 기반한 정보들을 획득할 수 있다. 2. 메모리 수집 방법- 하드웨어를 이용한 덤프 : 이 기능을 지원하는 PC만 사용하기 때문에 최근에는 잘 사용하지 않는다.- 소프트웨어를 이용한 덤프 : 가장 많이 쓰이는 방법이지만 덤프하기 위해 실행한 소프트웨어도 메모리에 저장된다는 단점이 있다.- 크래시 덤프 : 침해사고 대응에서는 사용하지만 디지털 포렌식에서는 활용도가 낮은 방법이다.- 절전모드 덤프 : 절전모드시 사용- 가상화 시스템 덤프 : 가상머신으로 서버를 구..
본 게시글은 http://forensic-proof.com 블로그를 참고하여 작성된 글 입니다. 1. 비활성 데이터란 ? 비활성 데이터는 현재 데이터의 변동이 없는 데이터이다. 따라서 기기의 on & off 에 영향을 받지 않는다.비활성 데이터 분석은 주로 기기의 저장매체를 이미징을 한 후 하는게 일반적이다.하지만 최근에 대용량 저장매체가 보편화되면서 이미징의 시간 또한 증가하게 되었다.따라서 이미징을 한 후 분석하는것은 효율성이 많이 떨어진다고 볼 수 있다. 그래서 라이브 포렌식 시 활성 데이터를 수집하는 동시에비활성 데이터 수집도 같이 진행을 한다. 2. 비활성 데이터 종류- $MFT (파일시스템 메타데이터)- $Logfile, $UsnJrnl:$J (파일시스템 로그)- 웹 아티팩트 (웹 브라우저 캐..
1. 활성 데이터란 ? 증거를 수집할때 전원이 꺼진 기기를 수집하는 경우도 있지만 전원이 켜진 기기를 수집하는 경우도 있다.이때 전원이 켜진 기기의 물리메모리(RAM)는 휘발성 메모리를 갖고 있다. 이 데이터는 사건을 해결하는데 중요한 역할을 할 수 있는데 이러한 데이터를 활성 데이터라고 한다. 이러한 활성 데이터 수집관 관련된 활동을 라이브 포렌식이라 한다. 2. 활성 데이터 종류 - 실행 중인 프로세스 - 연결 중인 프로세스 - 현재 로그인 사용자 - 현재 시스템 리소스 상황 - 현재 전송 중인 패킷 - 클립보드에 저장된 데이터 - 기타 3. 활성 데이터 수집1) 수집 도구 : 수집 도구로는 Plainbit사에서 제작한 BITLive_win 툴을 이용하였다. 해당 툴은 깃허브에서 다운받을 수 있다. ..
이번 자료는 K-shieldjr 분석대응 과정에서 악성코드 분석파트를 맡아주신 누리랩 최원혁 대표님께 동의를 받고 강의 내용 중 복습을 위해 정리한 내용입니다. 1. 분석 대상: 미켈란젤로 바이러스 * 특징 1) 플로피 및 하드디스크 MBR 감염 2) 주메모리를 2KB 축소 3) INT13h 후킹 ( INT13h : 하드웨어 관련 인터럽트 ) 4) 3월 16일 되면 하드디스크 파괴 2. 분석 목표: 부트 바이러스의 시초라고 할 수 있는 미켈란젤로 바이러스 분석을 통해 부트 바이러스의 동작 패턴을 파악한다. 3. 분석 과정 1) 악성코드 진입 michelangelo segment byte public assume cs:michelangelo, ds:michelangelo; Disassembly by Dar..
1. 실습환경- 운영체제 : Windows 7 32bit- 실습도구 : Immunity Debugger 2. 실습과정 1) 파일 실행 : 분석하기 이전에 먼저 파일을 실행시켜 어떻게 동작하는지 확인한다. 위 그림은 파일을 실행시켰을때 출력되는 화면이다.Serial 키를 입력하고 해당 키가 올바르게 입력되었을때 Registered 블록을 클릭할 수 있는 것을 확인할 수 있다.이제 이 Serial 키를 찾기 위해 해당 파일을 리버싱 해보자. 2) 분석 과정 : Immunity Debugger를 이용하여 해당 파일을 분석해보았다. 위 화면을 보았을때 Visual Basic으로 작성된 것을 알 수 있다.이제 문제를 풀기위해서 어떤 VB 함수가 쓰였는지 확인해보자. "Search for -> All intermo..
1. 실습환경- 운영체제 : Windows 7 32bit- 실습도구 : Immunity Debugger 2. 실습과정 1) 파일 실행 : 분석하기 이전에 먼저 파일을 실행시켜 어떻게 동작하는지 확인한다. 해당 파일을 실행시켰을때 출력되는 메시지 박스를 해석해보면 "keyfile"을 체크해서 문제를 해결하는 로직인것을 알 수 있다. 이전 메시지 박스에서 "확인"을 클릭했을때 "유효한 keyfile" 찾을 수 없다는 메시지가 출력된다.따라서 문제를 해결하기 위해서는 "조건에 맞는 keyfile" 이 필요하다는걸 알 수 있다. 하지만 지금 우리가 하는 과정은 역공학이기 때문에 파일은 생성하지 않고 코드 조작으로 문제를 해결할것이다. 2) 분석 과정 : "Immunity Debugger" 를 이용하여 해당 파일..