비전공자의 포렌식일기

문제를 한번 보겠습니다. jpg 파일을 하나 줍니다. 다운을 받아 실행 시켜 봅시다. 실행이 잘 되는것으로 보아, 헤더 시그니처나 푸터 시그니처는 정상적으로 작동하는 것을 볼 수 있다. 그래서 Hxd에디터로 열어서 ABCTF를 입력했는데, 이런식으로 플래그 값을 찾을 수 있었습니다. 쉬운 게싱 문제였던거 같습니다. 다른 방법으로 풀자면, 리눅스에서 file 명령어를 통해서 파일의 유형을 확인하면 다음과 같이 문구가 나옵니다. 그래서 strings 명령어로 플래그 포맷인 ABCTF를 입력하시면 다음과 같이 플래그 값을 볼 수 있습니다.

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는 $Logf..

저번 시간에는 ZIP Structure(구조)에 대한 내용을 배워보았는데요. 이제는 FAT32, FAT16과 같은 파일 시스템들을 배우기 전에 하드 디스크의 첫번째 데이터 저장 공간(0번 섹터)인 MBR에 대해서 배워보겠습니다. MBR이란?파티션의 스타일을 가르키는 약자입니다. MBR은 물리적인 저장 장치에서 확인 할 수 있는 영역으로써, HDD(하드디스크)에 첫 번째 데이터 저장 공간(0번 섹터)를 뜻하며, 하드디스크의 파티션 정보를 지니고 있습니다. 이 영역은 512byte(바이트) 크기의 영역입니다. 하지만 단일 파티션에서는 MBR이 존재하지 않고, 다중 파티션의 경우 MBR이 존재합니다. * Partition(파티션) 파티션은 단순하게 제한된 저장매체 공간(볼륨)을 보다 효율적으로 사용하기 위한 ..

이때까지 포렌식의 정의, 유형, 수사절차를 알아보았습니다. 이제는 디지털 데이터의 구성 단위에 대해서 알아보겠습니다. 디지털 데이터는 유용한 정보를 추출을 해서 법정 증거(재판에서 사용할 수 있는 증거)로 사용하기 위해 데이터가 담겨있는 의미를 정확히 파악해야 합니다. 디지털 데이터는 비트열로 구성되어 있고, 비트열은 정보의 최소 단위인 비트를 나열 해놓은 배열입니다. 비트는 데이터의 표현에 최소 단위로써 0과 1로 표현이 되며, 쉽게 설명해서 방에 있는 전등에 불이 들어오면 1, 불이 꺼지면 0으로 on, off와 같은 느낌으로 구성됩니다. 컴퓨터의 메모리, 저장 장치, 네트워크, 하드 디스크 등 디지털 시스템에 모든 데이터는 이진법(Binary)으로 데이터를 저장하고 처리합니다. 이러한 비트를 8개를..