목록포렌식 통합 (38)
wintersnowaAa
Portable Executable - PE Header
일단 PE 파일의 구조와는 별개로 PE 파일에 대해서 알아둬야할 것 같다...PE 파일은 윈도우 실행파일로 인식이 강하고, 원래는 UNIX의 COFF라는 형태를 기반으로 만들어졌다고한다.PE 파일을 통해서 알아낼 수 있는 정보로는 프로그램이 사용하는 API, DLL 등 프로그램, 프로세스가 다른 프로그램, 프로세스 혹은 자신이 정보를 사용하기 위해 필요한 내용을 알 수 있다.종류는 4가지가 있다고 한다.1. 실행 계열 : EXE, SCR2. 라이브러리 계열 : DLL, OCX, CPL, DRV3. 드라이버 계열 : SYS, VXD4. 오브젝트 파일 계열 : OBJ뭐...크게 신경써야할건 실행 파일의 EXE, 라이브러리의 DLL, 드라이버의 SYS, 오브젝트의 OBJ 정도가 있을듯하다.가변적 크기를 갖는 ..
ext4 file system - Block Group (Journal)
bob 떨어져도 해야할건 해야지...포렌식 공부는 그래도 재밌으니까1. Journal더보기Journal 영역의 오프셋을 찾아야한다.알아본 바로는 Journal 영역은 Inode Table의 Inode Entry 8번째를 사용한다고 한다.https://wintersnowaaa.tistory.com/64 ext4 file system - Block Group (Super Block, GDT , Block & I-node Bitmap, I-node Table)한동안 공부를 안했다.어떻게든 다시 열심히해야하지....몇가지 ext2, ext3, ext4 에서 사용하는 구조들을 알아보자.※ 이후에 포스팅 해야할거 Journal이랑 Data 블록!1. Block Group (Super block)더보기파티winter..
ext4 file system - Block Group (I-node Entry Extent 영역)
ext4 첫번째 포스팅에서 I-node table에서 Extent 영역 설명에 이 포스팅 링크 걸어놓기!Extent Tree 구조 (논리적 구조) 와 Extent 영역(index node까지)더보기일단 Extent tree 구조는 ext4부터 사용되었다.이유는 기존에 ext2, ext3에서 사용하던 비트맵 구조는 블록들을 하나씩 개별적으로 번호를 매겨 관리하는 방법이였는데,이에 대한 효율이 떨어져서 NTFS의 클러스터런 구조처럼 블록들을 연속적으로 묶어서 관리하는 방법인 Extent tree 구조를 채택하게 되었다.구조를 봐도 제대로 이해하기가 힘드니까 Extent 영역의 값들을 분석해서 어떻게 사용되는지 확인해서 구조 분석을 진행해보자.아 근데 구조를 공부하다가 모르는게 있어서 현우한테 또 물어봐서 정..
ext4 file system - Block Group (Super Block, GDT , Block & I-node Bitmap, I-node Table)
한동안 공부를 안했다.어떻게든 다시 열심히해야하지....몇가지 ext2, ext3, ext4 에서 사용하는 구조들을 알아보자.※ 이후에 포스팅 해야할거 Journal이랑 Data 블록!1. Block Group (Super block)더보기파티션 아래에는 파일 시스템이 1개 할당되는데, 여기서는 ext 파일시스템을 할당했다고 가정하자.그리고 시작은 Boot Sector 이고, 이후에는 여러 개의 Block Group들이 존재한다.여기서 알아볼 구조는 Block Group 이다.microsoft store을 통해 설치했던 ubuntu 폴더를 보면 vhdx 파일이 있다.이걸 FTK Imager로 분석해보려고한다.(조금 다를 수도 있지만 구조 이해하는데에는 충분할듯...?)Block Group의 구조 내에는 ..
최근에 bitnang님께서 2024년도 2번째 모의 문제를 만드셨습니다.풀이는 아마... 시험 끝나고 정리하면서 작성할듯하고요.일단 연습하다보니까 처음으로 분석 보고서를 써보았습니다.참고하실분들은 참고하셔도 좋고, 부족한 부분이 있다싶으면 코멘트 남겨주시면 감사하겠습니다!
디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 8번 문제) [FTK Imager]
8번 문제더보기8번 문제는이러하다.일단 프린트를 했다고 생각하면 가장 먼저 드는 아티팩트는 음...이벤트 로그라고 생각한다.그리고 추가적으로 Shadow (SHD) 파일과 Spool (SPL) 파일이 생각난다.내 기억으로는 프린트 관련 포스팅을 한 번 했던걸로 기억하는데....아. 드림핵에서 이벤트 로그 강의를 보다가 논문인가 있던걸 기반으로 정리하는 글을 쓸 때 논문 내용에 있었다.아직 작성 중이긴한데 그냥 올려놓고 차차 수정해야겠다.https://wintersnowaaa.tistory.com/49 이벤트 로그 (참고) [지속수정]- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기..
이벤트 로그 (참고) [지속수정]
- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기 (그 중에 이벤트 ID 2003, 2101 을 통해 장치에 대한 레지스트리 키 정보를 알아낼 수 있다.)아쉽게도 내 PC에는 Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx 이 없었다.왜지... 아마 윈도우 버전에 따라 남기는 이벤트 로그가 달라서 그런듯하다.내 PC는 윈도우 11이고 논문은 2018년에 작성 되었으므로 10이하일 것으로 추측이 된다...인줄 알았는데 알고보니까 로그 활성화가 안되어있던 것 같다.로깅 사용으로 바꿔줬다.이제 시간 지나면서 외부저장장치를 사용..
디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 7번 문제) [FTK Imager]
7번 문제더보기7번 문제공모한 사람의 의뢰를 받고 특정 파일을 외부로 유출하였다고 한다. 외부로 유출한 파일은 무엇으로 의심되며, 어디로 유출하였는가? 이전에 배웠던 유출 관련 시나리오를 떠올리면 풀어보려고 한다.일단 가정을 어느정도 세워보자면, 비트락커로 걸려있던 파티션은 이미지 생성 ai를 사용하기 위해서이고, 만들어낸 이미지 유출은 기존 가상머신에서 흔적을 찾을 수 있을 것 같다.일단 앞선 내용에서 누군가와 공모했던 메일을 다시 확인해보면,LouisDin@proton.me 라는 사람에게 메일이 왔다.그러면 일단 LouisDin@proton.me 이라는 메일에 대한 키워드 검색을 해볼 필요가 있을듯하다.지금 Autopsy 모듈을 돌려놓고 다른 흔적을 찾아놓기 위해서사용자\AppData\Roaming\..