침해사고가 발생한 컴퓨터를 원격을 통해 검사 및 정보, 디스크 수집 이번 포스팅은 이전 포스팅으로 침해사고를 일으킨 서버를 대상으로 실습을 합니다. fire-0.3.5b를 쓸 예정이며 fire는 포렌식에서 오래된 도구라고하는데 필자도 자세한 것은 잘 모르겠다. 잘 아시는 분이 계시다면 알려주시면 감사하겠다. 여기서 가상머신은 피해자 컴퓨터가 될 것이고 리얼머신은 피해자 컴퓨터의 정보를 가져오게 되는 분석자 컴퓨터가 된다. 먼저 vm에서 fire-0.3.5b.iso파일을 삽입한다. 가상머신으로 돌아와서 mount를 해준다. mount /dev/cdrom media/cdrecorder/ 여기서 잘 안될 가능성이 있는데.. 막 어떻게 하다보면 된다... 무책임한 소리지만 어쩌다보니 되었다. 위의 경로로 가면 ..
NTFS파일 시스템에서 직접 삭제된 파일 복구하기 - 2 기존의 포스팅에 이어서 작성된다. 자세한 설명은 NTFS파일 시스템에서 직접 삭제된 파일 복구하기 -1을 참고해주길 바란다. 이번에는 MFT #47번을 복구가 목표다. MBR -> MFT 생략하고 MFT에서 00 00 04 x 8 + 2048 + 94 86 0D * 8 + 2048 38 47 3C 01 00 00 00 00 00만큼 블록지정 후 복사 정상적으로 복구한 것을 확인
NTFS파일 시스템에서 삭제된 파일 복구하기 NTFS파일 시스템에서 삭제된 파일을 복구 해볼 것이다. 파일 시스템마다 형식이 다르기때문에 복구하는 방법도 다르다. 실질적으로 복구할려면 상용툴이나 오픈소스를 이용하는 것이 여러모로 편하다. 이번 포스팅에서는 NTFSWalker, HxD와 계산기만으로 직접 보면서 파일을 복구해볼 것이다. 먼저 분석하고자하는 NTFS 이미지를 구하여 NTFS Walker와 HxD로 켜준다. HxD로 이미지를 열 때 디스크이미지 열기로 열어주길 바란다. 툴 사용법은 이전 포스팅에 다 올려 두었으니 참고하자! NTFS Walker에서 MFT #값이 37번인 파일은 지워진 것을 확인 할 수 있다. "FP-NTFS.pdf"파일을 복구하는 것을 목표로 이 포스팅을 써내려 가보겠다. N..
파일 시스템 상의 파일 복구 파일시스템에 파일이 저장할 때, 파일의 이름, 시간 정보, 크기 등의 메타정보가 함께 기록되는데 보통 파일을 삭제할 경우 메타정보와 실제파일 내용을 초기화하지 않고 단순히 메타정보의 특정 플래그만 변경한다. 파일 시스템상의 파일 복구는 이와 같이 삭제된 것으로 표시된 메타정보를 이용하여 복구하게 된다. 1. FAT파일 시스템에서 파일 복구FAT 파일 시스템은 파일의 메타정보를 유지하기 위해 FAT영역과 Directory Entry를 사용한다. 파일이 삭제될 경우 FAT영역에서는 파일에 할당 되었던 클러스터에 대응되는 FAT Entry가 0x00으로 초기화가 된다. 그리고 해당 파일의 Directory Entry의 오프셋 0x00의 값이 삭제를 나타내는 0xE5로 변경되고 이 ..
분석, 데이터 복구를 위한 파일 시스템 구조 파악 - 2 1. 파티션과 MBR시스템은 부팅과정에서 파티션의 크기, 위치, 설치된 운영체제 등을 파악하여 그에 맞게 구동해야 한다. 이러한 정보를 담고 있는 영역이 Boot Record(BR)영역이며 윈도우 운영체제의 경우 파티션의 첫 번째 섹터에 위치한다. 2. Boot Record시스템은 부팅 과정에서 운영체제의 커널 파일을 불러와 구동시킨다. 이러한 역할은 BR(Boot Record) 영역의 정보를 통해 수행된다. BR은 각 파티션의 첫 섹터에 위치한다. 파티션을 나누지 않는 단일 파티션의 경우 1개의 BR 영역이 첫 번째 섹터에 위치한다. 하지만 분할된 파티션의 경우 각 파티션의 BR 영역을 관리할 필요가 있다. 3. Master Boot Record..
파일 시스템 분석, 데이터 복구를 위한 구조 파악 1. 파일 시스템 구조 - 운영체제는 어떠한 파일이 있는지, 해당 파일이 저장된 위치는 어디인지, 파일의 이력은 무엇인지 효과적으로 파악할 수 있어야 한다. - 새로운 파일을 생성하여 저장할 때는 저장 매체에 빈 공간을 찾을 수 있어야 한다. 2. 파일 시스템의 주요 요소2-1. 주소지정방식(Addressing) CHS는 실린더(Cylinder),해드(Head),섹터(Sector)를 의미, 디스크의 물리적인 구조에 기반한 주소지정방식 CHS방식은 초기 ATA표준에서 정의한 주소 지정 비트와 BIOS에서 지원하는 주소 지정 비트의 차이로 인해 최대 504크기까지만 주소지정이 가능 이후 디스크 용량의 증가로 인해 BIOS의 주소 지정 비트수를 확장시켰지만 8..
Hex editor(HxD) 다운로드 / 사용방법파일에 대한 Hex 값을 볼 수 있도록 도와주는 프로그램이다. https://mh-nexus.de/en/downloads.php?product=HxD 최초 실행화면 왼쪽 상단에 파일 -> 열기로 파일을 열 수 있으며, 드래그앤 드롭으로도 열 수 있다. HxD에서도 해쉬값을 구해준다. 분석 -> 체크섬에 들어가면 MD-n, SHA-1,2등 선택하여 값을 구할 수 있다. 다재다능한 프로그램이다. 앞으로 포스팅할 때 이 기능을 쓸 예정인데 디스크 이미지도 분석하기 편하게 열 수 있다. 이미지 열기로 이미지를 열면 된다. 512크기로 섹터를 나눠준다. (하드디스크 / 플로피디스크 선택시)
파일 복구 실습을 위한 NTFSWalker 설치 / 사용방법 1http://dmitrybrant.com/ntfswalker 실행하면 위와 같은 창을 볼 수 있고 Physical과 Logical로 나누어져 있다. Advanced로 가면 이미지 파일을 열 수 있다.
윈도우즈(Windows)에서 볼라틸리티(volatility)를 사용하여 메모리 분석 - 2 이번 포스팅에는 윈도우즈(Windows)에서 볼라틸리티(volatility)를 사용하여 메모리 분석 - 1에서 알아본 명령어를 통해 실습 덤프 파일을 사용하여 분석을 해 볼것이다. 실습 덤프 파일은 zeus와 stuxnet을 사용 할 것이며, 이전 포스팅과 연관하여 진행할 예정이므로 되도록 순서대로 읽어주면 좋겠다. 1. Zeus먼저 네트워크 통신하고 있는 프로세스부터 알아보자. connscan을 했더니 856번이 통신하고 있는 것을 확인 할 수 있다. pslist에서 856을 확인해보면 svchost.exe가 856번을 쓰는 것을 확인 할 수 있다. svchost.exe파일은 공격자들의 좋은 먹잇감이 된다. sv..
윈도우즈(Windows)에서 볼라틸리티(volatility)를 사용하여 메모리 분석 - 1 윈도우즈(Windows)에서 볼라틸리티(volatility)를 사용하여 메모리 덤프 뜬 것을 분석해보는 시간을 가져보자.윈도우즈에서 volatility를 사용하려면 위의 파일이 필요하다. 다운로드를 받으면된다. volatility를 사용하려면 넷프레임워크 아니면 파이썬이 필요한데 정확히 뭐였는지 기억이 안난다. 혹시 실행이 안된다면 파이썬이나 넷프레임워크를 설치해보자. 이번 포스팅에서는 볼라틸리티(volatility)에 대해 자주 사용할 법한 명령어들 몇개를 실제로 실습을 해볼 예정이다. 여담으로 Volatility(휘발성)와 vulnerability(취약성)와 혼동하면 안된다. vol.exe -f [분석하고자 하..
최근댓글