비전공자의 포렌식일기

이번 시간에 공부를 할 개념은 슬랙 공간입니다. 슬랙 공간(Slack Space) 슬랙 공간은 물리적인 크기와 논리적인 크기 차이로 인해 낭비가 되는 공간으로써, 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 의미합니다. 이 부분에 대해서는 실제 포렌식 문제를 가지고 와서 설명을 드리겠습니다. (램 슬랙 참고!!) 디스크는 데이터를 섹터 단위로 읽고 쓰기 작업이 이루어지며 디스크 입출력 속도를 향상시키기 위해서 여러 개의 섹터를 묶어서 한 번에 처리하게 끔 클러스터라는 개념을 사용합니다. * 클러스터 : 여러 개의 섹터(512Byte)를 묶은 개념, 운영체제에서 사용하는 데이터 저장의 최소 단위로 사용 디스크는 섹터, 클러스터 단위로 입출력을 처리하지만 파일은 가변적이기 때문에 파일의..

혼공단 6기를 수료하였고, 다시 8기로 돌아오긴 했는데 이미 vs가 설치가 되어있기 때문에 과정은 생략하겠습니다. 01.1 프로그램과 C언어 프로그램은 일의 순서를 뜻합니다. 즉, 우리가 영화 프로그램을 본다고 가정했을 때 순서는 다음과 같습니다. 1. 영화관을 간다. 2. 티켓을 산다. 3. 간식을 산다. 4. 상영실에 입장한다. 5. 영화를 본다. 이렇게 순서를 나뉘어 볼 수 있는데, 이런 방법은 한글로 적어놨기 때문에 컴퓨터가 이해를 할 수 없는 표현입니다. 그래서 우리가 배우는 프로그래밍 언어는 컴퓨터가 이해할 수 있는 정확한 표현의 규칙을 정의해 놓은 언어입니다. 01.1.1 C언어의 장점 C언어의 장점은 크게 3가지로 분류가 됩니다. 1. 시스템 프로그래밍이 가능합니다. - ..

이번에 연구를 진행했던 포렌식은 웹 브라우저 포렌식에 관한 내용인데, 정리를 하고자 작성을 시작했습니다. 1. 개요 웹 브라우저 분석을 진행하게 된 이유는 포렌식 관점에서 매우 중요하기 때문입니다. 그 이유는 사용자들이 자주 사용하는 웹 브라우저의 아티팩트를 분석할 경우 사용자의 관심사 또는 범죄 사건에 필요한 각종 단서(URL, 자주 검색한 키워드, 다운로드) 등을 파악할 수 있습니다. 침해사고 분석 시에도 웹 브라우저를 분석하는 것은 중요합니다. 왜냐면 악성 파일의 유입 경로가 사용자들이 크랙버전을 다운 받거나 악성코드가 심어져있는 악성 문서가 메일로와서 다운을 받게 됩니다. 이때 다운받은 파일들의 경로들이 웹 브라우저 로그에 저장되어 있으니 악성 코드 감염 유입 경로를 파악할 수 있는 정보를 얻을 ..

이번에 리뷰해 볼 논문은 고려대학교 정보보호대학원에서 2017년에 투고된 손상된 ZIP 파일 복구 기법이라는 논문이다. 논문의 원본은 다음 링크로 가면 볼 수 있습니다. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002276535 참고 : 센트럴 디렉터리(C/D), 로컬 파일(L/F), 엔드 오브 센트럴 디렉터리(EOCD)로 표현한다. ABSTRACT 압축파일 형식으로 가장 많이 쓰이는 PKZIP 형식은 ZIP 파일뿐만 아니라 MS Office 파일과 안드로이드 스마트폰의 어플리 케이션 파일 등에서 사용되는 파일형식이다. 다양한 영역에서 널리 쓰이는 PKZIP 형..

이번에 리뷰해 볼 논문은 서울대학교 융합과학기술 대학원에서 2018년에 투고된 웹 브라우저의 포렌식 분석 기법 비교 연구라는 논문이다. 논문의 원본은 다음 링크로 가면 볼 수 있습니다. https://s-space.snu.ac.kr/handle/10371/142264 본 논문의 리뷰 작성 이전에, 모든 실습 내용을 다루지 않는 점을 양해 부탁드립니다. Abstract 웹 브라우저는 사람과 인터넷을 연결해주는 매개체이며, 웹 브라우저를 통해서 할 수있는 인터넷 주 활동인 커뮤니케이션, 이메일, 게임, 정보 공유 등 이용할 수 있는 서비스가 다양하다. 현재 우리는 자율주행자동차와 같은 IOT(사물인터넷)가 일상화가 되어있으며, 실생활과 사이버 생활의 경계가 모호해지는 24시간 인터넷 속 세상에서 살게 될 것..

레지스트리를 배우기 전에 먼저, 윈도우 아티팩트(Windows Artifacts)에 대해서 배워보겠습니다. 윈도우 아티팩트란? Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있습니다. 여기서 아티팩트라는 단어를 잘 모르실 수 있기 때문에 설명을 좀 드리자면, 영어 단어로 인공물이라고 불리지만 컴퓨터에서 아티팩트란 사용자가 시스템을 사용했을 때 생성이 되는 "흔적" 이라고 생각 하시면 됩니다. 간단하게, 사용자가 크롬 브라우저를 클릭했을 때를 떠올려 봅시다. 그럼 크롬 브라우저가 실행이 되고, 검색창에 네이버를 입력하게 되면, 네이버 사이트를 보여주잖아요? 그럼 우리가 크롬 브라우저를 통해서..

이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 지난 시간에 배운 것들을 복습하겠습니다. LAN : 어느 한정된 공간에서 네트워크를 구성 WAN : 멀리 떨어진 곳과의 네트워크 구축 이더넷 : 네트워킹의 한 방식으로, 네트워크를 만드는 방법 중 하나이며, 동작하는 방식은 CSMA/CD 프로토콜을 사용하여 통신 토큰링 : 이더넷처럼 마음대로 데이터를 보내는 방식이 아니라, 네트워크에서 오직 하나의 PC, 즉 토큰을 가진 PC만이 네트워크에 데이터를 실어 보낼 수 있는 것 간단하게 지난 시간에 작성한 것들을 복습했고, 오늘은 더욱 많은 것들을 포스팅 해보겠습니다. 케이블 우리는 네트워크를 구성하면서 자주 만나는 것이 "케이블" 이란 단어가 아닐까 싶습니다. 케이블은 전화 케이블이나 전원 ..

이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 지난 시간에 배운 것들을 복습하겠습니다. 네트워킹 : 서로 연결된 장비들끼리 대화(정보)를 주고 받을 수 있게 묶어주는 것 인터넷 : 서로 다른 네트워크를 연결 시킨 것, TCP/IP 프로토콜을 사용 인트라넷 : 회사(기업) 내부에서 사용하는 인터넷 망 엑스트라넷 : 회사(기업) 내부 및 회사랑 계약되어 있는 거래처(고객)들 까지 이용가능 한 인터넷 망 간단하게 지난 시간에 작성한 것들을 복습했고, 오늘은 더욱 많은 것들을 포스팅 해보겠습니다. LAN이란? 우리가 네트워크를 배우지 않았더라도 가장 많이 접해본 것이 바로 LAN이라는 단어일 것 입니다. 랜? 란? 렌? 이라고 읽을 수 있으며 Local Area Network의 약자입니다...

안녕하세요. 네트워크 포렌식을 하기 전, 네트워크에 대해서 기본적으로 공부를 하기 위해서 작성하게 되었습니다. 기초부터 차근차근 네트워크에 대해서 전반적으로 다룰 것이며, 이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 네트워크는 비록 30년 전 까지만 해도 그렇게 중요한 분야가 아니였습니다. 왜냐면 과거에는 컴퓨터를 잘 아는것 만으로도 인정을 받을 수 있었기 때문입니다. 이런 얘기들을 접해본 적이 있을겁니다. "NASA를 해킹하면 NASA에서 취업 할 수 있다던데?!!" 이 말은 30년전 컴퓨터가 생소했을 시절에 있었던 얘기입니다. 지금은 기업뿐만 아니라 개인의 컴퓨터도 해킹하면 커리어가 사라지는 시대이기 때문에..나쁜짓은 하시면 안됩니다. 다시 돌아가서, 과거에는 중요하지 않았던 ..

안녕하세요. 저번 시간에는 Cridex Malware분석을 진행하였습니다. 이번에는 조금 난이도가 있는 OlympicDestroyer Malware를 분석을 해보겠습니다. OlympicDestroyer Malware란? 2018년 2월 9일 평창 올림픽 개회식 당시 현장의 유무선 네트워크 시스템에 장애가 발생하며, 잇따라 무선랜(Wi-Fi)서비스, 메인프레스센터(MPC)의 IPTV 영상 전송과 입장권 판매 및 출력을 위한 공식 홈페이지 운영이 중단 되었습니다. 이는 올림픽을 방해하기 위한 해커의 사이버 공격으로, 최초 감염 경로는 스피어피싱 이메일을 통한 감염으로 밝혀졌으며, 공격 수단은 파괴형 악성코드로 시스템을 망가뜨려 IT 기반 서비스 가동이나 운영을 방해하려는 의도로 예상됩니다. 그래서 이 악성코..