wintersnowaAa

ext4 첫번째 포스팅에서 I-node table에서 Extent 영역 설명에 이 포스팅 링크 걸어놓기!Extent Tree 구조 (논리적 구조) 와 Extent 영역(index node까지)더보기일단 Extent tree 구조는 ext4부터 사용되었다.이유는 기존에 ext2, ext3에서 사용하던 비트맵 구조는 블록들을 하나씩 개별적으로 번호를 매겨 관리하는 방법이였는데,이에 대한 효율이 떨어져서 NTFS의 클러스터런 구조처럼 블록들을 연속적으로 묶어서 관리하는 방법인 Extent tree 구조를 채택하게 되었다.구조를 봐도 제대로 이해하기가 힘드니까 Extent 영역의 값들을 분석해서 어떻게 사용되는지 확인해서 구조 분석을 진행해보자.아 근데 구조를 공부하다가 모르는게 있어서 현우한테 또 물어봐서 정..

한동안 공부를 안했다.어떻게든 다시 열심히해야하지....몇가지 ext2, ext3, ext4 에서 사용하는 구조들을 알아보자.※ 이후에 포스팅 해야할거 Journal이랑 Data 블록!1. Block Group (Super block)더보기파티션 아래에는 파일 시스템이 1개 할당되는데, 여기서는 ext 파일시스템을 할당했다고 가정하자.그리고 시작은 Boot Sector 이고, 이후에는 여러 개의 Block Group들이 존재한다.여기서 알아볼 구조는 Block Group 이다.microsoft store을 통해 설치했던 ubuntu 폴더를 보면 vhdx 파일이 있다.이걸 FTK Imager로 분석해보려고한다.(조금 다를 수도 있지만 구조 이해하는데에는 충분할듯...?)Block Group의 구조 내에는 ..

최근에 bitnang님께서 2024년도 2번째 모의 문제를 만드셨습니다.풀이는 아마... 시험 끝나고 정리하면서 작성할듯하고요.일단 연습하다보니까 처음으로 분석 보고서를 써보았습니다.참고하실분들은 참고하셔도 좋고, 부족한 부분이 있다싶으면 코멘트 남겨주시면 감사하겠습니다!

8번 문제더보기8번 문제는이러하다.일단 프린트를 했다고 생각하면 가장 먼저 드는 아티팩트는 음...이벤트 로그라고 생각한다.그리고 추가적으로 Shadow (SHD) 파일과 Spool (SPL) 파일이 생각난다.내 기억으로는 프린트 관련 포스팅을 한 번 했던걸로 기억하는데....아. 드림핵에서 이벤트 로그 강의를 보다가 논문인가 있던걸 기반으로 정리하는 글을 쓸 때 논문 내용에 있었다.아직 작성 중이긴한데 그냥 올려놓고 차차 수정해야겠다.https://wintersnowaaa.tistory.com/49 이벤트 로그 (참고) [지속수정]- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기..

- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기 (그 중에 이벤트 ID 2003, 2101 을 통해 장치에 대한 레지스트리 키 정보를 알아낼 수 있다.)아쉽게도 내 PC에는 Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx 이 없었다.왜지... 아마 윈도우 버전에 따라 남기는 이벤트 로그가 달라서 그런듯하다.내 PC는 윈도우 11이고 논문은 2018년에 작성 되었으므로 10이하일 것으로 추측이 된다...인줄 알았는데 알고보니까 로그 활성화가 안되어있던 것 같다.로깅 사용으로 바꿔줬다.이제 시간 지나면서 외부저장장치를 사용..

7번 문제더보기7번 문제공모한 사람의 의뢰를 받고 특정 파일을 외부로 유출하였다고 한다. 외부로 유출한 파일은 무엇으로 의심되며, 어디로 유출하였는가? 이전에 배웠던 유출 관련 시나리오를 떠올리면 풀어보려고 한다.일단 가정을 어느정도 세워보자면, 비트락커로 걸려있던 파티션은 이미지 생성 ai를 사용하기 위해서이고, 만들어낸 이미지 유출은 기존 가상머신에서 흔적을 찾을 수 있을 것 같다.일단 앞선 내용에서 누군가와 공모했던 메일을 다시 확인해보면,LouisDin@proton.me 라는 사람에게 메일이 왔다.그러면 일단 LouisDin@proton.me 이라는 메일에 대한 키워드 검색을 해볼 필요가 있을듯하다.지금 Autopsy 모듈을 돌려놓고 다른 흔적을 찾아놓기 위해서사용자\AppData\Roaming\..

6번 문제더보기이거 진짜 어려움; 현우가 이렇게까지 도구 안쓰고 비트락커 푸는 방법이 있을줄은 몰랐다며 알려줬다. 자 일단 문제에서는 해당 저장매체 = 가상머신 이다.가상머신에서 특정 파일시스템에는 암호화가 걸렸다고 말한다.바로 요 5번째 파티션을 말하는건데시그니처가 ex 이후에 FVE-FS라고 나와서 나는 순간적으로 exFAT인줄 알아서 헤매었다. 그래서 현우랑 만기형이 말해주길 저 FVE-FS 라는 시그니처가 보이면 일단 비트락커로 암호화를 한 파티션이라고 한다.살면서 비트락커가 되게 어려워서 무서워했는데, 의외로 설명 들어보니까 문제 내는 수준은 복잡한게 문제였다.자 일단 이 비트락커 파티션을 쓰기 위해서는 부분적으로 파티션만 따로 추출해줘야한다.Export 해주고,여기서 인식을 시키기 위해서는 비..

5번 문제더보기사실 그렇게 어려운 문제는 아니다.도구를 사용한다면...Autopsy의 기능에서는 쉽게 찾아준다.하지만 레지스트리의 어떠한 값을 통해서 정보를 제공하는지를 알아야 공부하는 의미가 있겠지?https://wintersnowaaa.tistory.com/39 Find the USB이전 문제도 그냥 포스팅 다 해야겠다.음 금방했다. 대충 30분정도 걸렸네이미 아는 내용들이고, 동아리 후배 애들 멘토링할 때 하도많이 다뤘던 것들이라서 빠르게 끝냈다.자 이번 문제에 대한wintersnowaaa.tistory.com얼마전에 분명히 해당 레지스트리를 본 것 같았는데드림핵 디포 강좌에서 있었구나...이번 문제도 이전 문제와 같게 HKLM의 SYSTEM에 존재했다.HKLM이니까 Windows\System32\..