침해사고 분석을 위한 디지털 포렌식(digital Forensic) - 2침해사고 분석을 위한 디지털 포렌식(digital Forensic) - 1에서 시스템에 있는 프로그램은 신뢰할 수 없다고 했다. 그럼 어떻게 해야할까? 침해사고 당한 컴퓨터를 가기전에 간단한 툴을 직접 만들어서 갈 수 있다. 이번엔 간단히 만드는 방법을 소개해보자 한다. 먼저 필요한 프로그램이 있다. 마이크로소프트에서 지원하는 프로그램들이다. 아주 유용하다. 위의 PSTools라는 파일을 다운 받도록 하자. 먼저 결과부터 보여주자면 이렇게 해당 컴퓨터에 대한 상세 정보가 다 나오게 된다. 소스파일을 보며 설명을 해보겠다. 아까전에 받은 PSTools.zip에서 Psinfo.exe, pslist.exe, PsLoggedon.exe를 ..
침해사고 분석을 위한 디지털 포렌식(Digital Forensic) - 1침해사고 분석을 위해서는 단계가 있다. KISA에서 알려주는 대응 7단계이다.앞으로 다뤄볼 주제는 대응 7단계중에서 초기대응에 속하게 된다.초기대응은 아주 중요하다. 사이버범죄가 아닌 실세계범죄나 사건/사고 같은 경우에도 초기대응이 중요한 만큼 사이버 사건/사고에도 초기대응은 정말 중요하다. 초기대응을 얼마나 잘하냐에 따라 공격지를 더 수월하게 찾을 수 있게되거나 못찾게 될 수 있다. 보통 공격자들은 공격이 성공하면 자신의 정보를 지우려고하는 경우가 대부분이라고 생각되므로 빨리 사고탐지를 하고 초기대응을 하는건 여러번 강조해도 부족하지 않다고 생각된다. 침해사고를 당하게되면 피해자 컴퓨터의 정보와 데이터를 수집해야하는데 수집하는 순..
Race condition PPT(PDF), 보고서입니다. 시스템 해킹 및 정보보호하면서 만들었던 자료 올립니다.Race condition(레이스 컨디션) 원리, 실습, 대처방안, 최근동향(Dirty Cow를 이용하여 간단한 실습)을 포함하여 만들어보았습니다.
제 8회 정보보안 기사(산업기사) 실기 후기 제 8회 정보보안 산업기사 실기 후기입니다. 이번 실기는 생각보다 쉽게 나온 듯 싶네요. 이번 회차때 붙어야 할 정도로 생각됩니다만..이번에 공부를 많이 안하고 간지라 떨어져도 뭐라 말을 할 수가 없네요 ㅠㅠ조금만 더 시간을 투자했으면 통과할 수 있었는데 말이죠.확실히 합격률을 맞추기위해 난이도 조절을 하는 듯 싶습니다.7회차 합격률이 생각보다 저조하여 이번에 합격률을 높이고자 했던것 같습니다. 실제로도 문제를 풀면서 이번에 합격률이 높을 것이라고 생각되었으니까요.다시 생각해도 정말 아쉽네요 ㅠㅠ 이번에 붙었어야 했는데.. 산업기사 나왔던 문제를 기억으로 되살려보자면 다음과 같습니다.(정확하지 않습니다) ARP 프로토콜에 대해 설명하면서 MAC주소 길이 물어봄..
위와 같은 파일 목록을 확인 할 수 있다. 서버 정보는 위와 같았다. 파일 권한 확인 실행하였을 때 실행하였을 때2 현재 경로 random_flag는 어떻게 되어있는지 확인 할 수 없었지만 아래에 flag 값이라고 생각될 문장이 있었다. 다른 곳에선 쓰기를 할 수 없었지만 tmp에서는 할 수 있었다.cd ../../../tmp 여기서 최초로 봤던 file에게 심볼릭 링크를 건다. flag, key, random_flag 파일을 계속 돌리면서 분석해본 결과 아래와 같은 형태를 가진 것을 유추할 수 있었다.유추 한 것을 토대로 푸는 방법도 추리 해보았다. 1. flag * key = random : 최초에 있던 형태2.flag * random = key : 위에서 나온 random 값을 key파일로 치환3...
ADB error : more than one device and emulator 안드로이드 디바이스를 연결하거나 지니모션(Geny Motion)을 쓰면서 ADB를 사용하다보면 위와 같은 에러가 나올 때가 있다. 이것은 디바이스나 에뮬레이터가 2개 이상있거나 하나도 없을 경우 나오는 에러로 판단된다. 만약 위와 같은 에러가 나온다면 해결 방법은 아래와 같다. >adb devices보면 엄청 많은 에뮬레이터가 있는 것을 볼 수 있다.(분석하느라 껐다 컸다를 자주하다보니..) 만약 사용하고 있는 에뮬레이터나 디바이스가 어떤건지 알고 있으면 연결 시켜주면 된다. 필자는 뭔지 몰라서 다 연결 해보았다.adb -s emulator-XXXX shelladb connect localhost 하지만 아무것도 연결이 되..
http://codeengn.com/challenges/smartapp/02 정적분석을 위하여 위의 코드엔진 문제중 smartapp/02를 통해 분석을 해보겠다. 그리고 이 포스팅은 전에 있던 포스팅에 설정된 것을 그대로 하니까 전 포스팅부터 읽으면 잘 될 수 있을 것이다. Geny Motion으로 먼저 어떤 앱인지 확인 해볼려고 한다.그런데 시작부터 막힌다! 보통 지니모션을 사용한다면 드래그앤 드롭으로 바로 설치가 되어야 한다.하지만 필자가 할 때 그냥 sdcard에 저장을 시켜버리고 설치를 안한다... 아래처럼Files successfully copied to:/sdcard/Download/ 그래서 확장자를 02.apk로 바꿔 드래그 앤 드롭해보니 아래와 같은 에러를 뿜으면서 안된다.An Error ..
버프수트(Burp Suite)와 지니모션(GenyMotion)이 이미 설치 되어있다는 가정하에 진행됩니다. 지니모션과 버프수트는 다른 블로거들의 글에 아주 아주 자세히 설명되어 있습니다. Burp Suite를 키시고 Proxy - > Option으로 가서 Proxy Listeners에 Add를 누릅니다. 그리고 위와 같이Bind to Port : 8888Bind to address : All interfaces를 해줍니다.여기서 Port 번호는 임의로 주셔도 되는데 안쓰는 Port를 하시는게 좋습니다.일반적으로 8080을 많이 씁니다. 이것은 설정 안해주셔도 데이터보는데 지장은 없지만 Server Responses도 같이 볼 수 있도록 설정하는 겁니다.아까 위에서 Proxy Listeners에서 좀 내려..
이 글을 참고하여 악용하시면 안되요. 정보통신망법, 정보통신기반보호법에 의거 처벌 받을 수 있습니다. ddms을 이용하여 실행 중인 안드로이드 앱 메모리를 덤프하여 비밀번호를 추출해 볼것이다. 따라서 ddms가 설치가 되어 있는지 확인을 해야한다.설치 경로 : C:\android\sdk\tools\lib 이런 창이 실행 된다면 사용 할 수 있다. 필자는 환경 변수로 지정해놨기 때문에 어디서든 실행 시킬 수 있다. 먼저 알아보고자 하는 앱을 실행시키고 ddms을 실행시킨다. 그 후 앱에서 로그인을 해본다. 문둥문둥한 사각형에 해당되는 앱을 클릭하고 직사각형 부분을 클릭하면 hprof파일을 떨궈준다.이 파일을 폴더 하나 만들어서 거기에 저장한다. 하지만 여기서 hprof파일이 표준이 아니어서 표준 형식으로 ..
/data/app에는 apk가 저장이 됨. /data/data에는 설치 파일들이 있다. ※ /mnt/sdcard[해당 APP 이름] /data/app/apk(설치파일) /data/data/[해당 APP 이름] /data/data/[해당 APP이름]/cache /data/data/[해당 APP이름]/database /data/data/[해당 APP이름]/shared_prefs /data/data/[해당 APP이름]/lib /data/data/[해당 APP이름]/files 보통 shared_prefs에 중요한 정보가 포함되어 있을 확률이 높다.따라서 이 폴더로 들어가서 검색해보면 잘 나올 수 있다. 임의로 어떤 앱을 다운 받아서 분석해보았다.분석할때 명령어들 중에서 find /data -mmin -(시간) ..
최근댓글