Theory/Forensic9

파일시스템 1. 파일시스템의 이해 1) 파일시스템의 종류 ▶ FAT, NTFS[Windows], EXT2/3/4[Linux], HFS[Apple] 2) 플래시 메모리의 특성 ▶ Erasing Block ▶ Random Access ▶ Wear Leveling 3) 일반적인 파일시스템의 구성 ▶ Boot Sector ⤷ Drive의 시작부분, Drive를 어떻게 읽을지 결정 ▶ Index or Metadata ⤷ Drive에 존재하는 파일이나 폴더들의 정보를 제공 ▶ Data ⤷ 각 파일에 대한 실제 Data 저장 4) 파일 데이터의 구성 [두 가지 구성방식] ▶ Cluster Chain ⤷ 파일의 크기가 커서 연속되거나 분산된 여러 개의 클러스터에 저장 후 이를 연결한 구조 및 형태 ⤷ 하드를 여러 개의 블록으로 .. 2019. 6. 17.
32bit 머신의 주소체계 1. 32bit 머신의 주소체계 1) Virtual Address Space ▶ 실제 물리 메모리를 매핑한 가상주소를 사용 + 가상주소를 사용하기 위해 Page Table을 사용 ▶ 저장 불가능한 메모리 정보는 Page File로 저장 하는 것을 paging이라 함. 저장장소 = C:\pagefile.sys ▶ 프로세스 메모리 공간은 다른 프로세스가 접근 불가 + OS가 메모리 접근을 관리 ▶ 32bit 환경에서 최대 VAS는 4GB이고, 64bit 환경에서 2의 64승만큼의 VAS를 가질 수 있다. + 4GB가 넘어가면 메모리에서 접근이 불가능 2) 용어 ▶ 힙 = 동적메모리 할당 ▶ 스택 = 복귀메모리주소, 매개변수 ▶ 메모리 매핑 = 커널영역의 라이브러리 호출 ▶ Static memory 할당 = .. 2019. 4. 27.
디지털포렌식 2. 디지털 포렌식 1) 디지털 증거의 성격 ▶ 무결성, 진정성, 동일성, 신뢰성, 정당성 2) 디지털 포렌식 증거처리 절차 ▶ 준비 - 식별수집 - 이송 - 획득분석 - 분석서작성 - 보존 3) COC(Chain of Custody)란? ▶ 연계보관성 - 진정성을 인정받기 위함 ▶ 디지털 증거의 발견방법과 처리방법을 비롯 증거에 대한 모든 사항을 명확히 기술하고 보관 및 이송과정에서 인수인계 과정에 대한 기록과 검증이 필요 4) E-discovery 전자증거개시제 ▶ 미국 - 증거 5년간 보관법, 제출불가 시 패소 ▶ 삼성 사용자 소송 [수리해도 문제발생] + 증거는 삼성이 가지고 있으나 증거 안줌 5) 디지털 포렌식 준비도 ▶ 해킹사고 발생 시 증거가 수집되도록 ▶ 어카운팅 - 기업의 비리를 잡는 것 2019. 4. 27.
실시간 대응 1. 실시간 대응 1) 실시간 대응의 중요성 ▶ 전자상거래는 시스템을 다운시키면 금전적 손실 발생 ▶ 하드디스크 이미징 시 많은 시간이 소요 ▶ 시스템 동작 상태에서 증거 수집이 필요할 때도 있음 + ex) 프로그램이 메모리에만 존재, 임시저장 파일 ▶ 클라우드 시스템 전체를 이미징 불가 2) 사건 유형에 따른 수집내용 ▶ 해킹 침해 관련 - 메모리 조사 + 프로세스 관련, 메모리, 시스템파일, 네트워크접속정보, 원격서버, 도청 ▶ 지적 재산 침해 관련 - 파일 조사 + 해킹과 무관, 확장자 변경, 시간, 사용흔적, 숨김파일, 삭제된 파일, 설치정보, 유출경로 ▶ 인터넷 사용 관련 - 접속기록 및 개인정보 3) 로카르 법칙( Locard's ) ▶ 접촉하는 두 개체는 서로의 흔적을 주고 받는다. ▶ 동작.. 2019. 4. 27.
레지스트리 분석 1. 레지스트리 분석(1) 레지스트리란? [1] 운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스를 말한다. [2] HKEY_CLASSES_ROOT를 비롯하여 5개의 가장 상위키(=루트키)를 갖는다. [3] 각 루트키 아래의 하위키부터 그 아래의 모든 하위 키를 포함하는 트리 구조를 하이브(Hive)라고 한다. [4] 각각의 하이브는 저마다 고유한 저장장소(파일)와 로그 파일을 갖고 있다. [5] 레지스트리 파일과 매칭되지만 1:1로 매칭되지는 않는다. [6] 디렉토리 개념이고 KEY와 VALUE 형태로 구성되어 있다. [7] VALUE에는 [이름, 데이터]로 구성되어 있으며 상위 키 HIVE는 파일이다. (2) HIVE KEY [1] H.. 2019. 1. 19.
메모리 수집 분석 1. Windows Memory 이해 (1) Virtual Address Space (VAS) [1] VAS는 실제 Physical Memory를 mapping한 가상 주소를 사용하는 것으로 Physical Memory 한계를 극복할 수 있고 OS가 메모리 접근을 관리하여 Memory Protection(같은 주소라도 실제 사용하는 주소는 다르다)을 가능하게 한다. [2] Windows는 VAS를 Physical Memory와 mapping하기 위하여 page table을 사용하며 Physical Memory에 저장할 수 없는 Memory 정보는 pagefile로 저장하게 된다. [3] [C:\pagefile.sys]와 같이 pagefile로 저장한 것을 페이징(paging)이라고 한다. [4] Proc.. 2019. 1. 19.
사이버포렌식 절차 1. ISO/IEC 27037(이칠공삼칠) - 디지털증거 가이드라인 1) 기본원칙 [1] 관련성 - 취득한 자료가 조사와 관련이 있어야 한다 [2] 신뢰성 - 결과가 똑같이 나와야 한다. [3] 충분성 - 올바른 조사가 이루어지도록 충분한 자료 수집 2. 디지털 증거 처리 요구사항 1) 감사성 - 수행된 사안에 대해 제 3의 감사가 가능해야 함 2) 반복성 - 동일한 측정 방법과 동일 조건하에서 동일한 도구 사용하여 차후 반복가능해야 함 3) 재현성 - 동일한 측정 방법과 다른 조건하에 다른도구를 사용하여 차후 동일한 결과를 재현 4) 정당성 - 증거를 모으는 행위와 방법을 정당화 할 수 있어야 한다. 5) 증거수집 - 위법이더라도 권한이 없으면 수집하면 안된다. - 단, 증거수집을 위해 법적권한 검토하.. 2018. 9. 16.
사이버포렌식 개론 1. 포렌식 스펠링 = Forensic , 그리스[아고라] 2. 사이버포렌식이란? 기술적측면, 조사적측면, 법률적측면 3. 로카르법칙 - 접촉하는 두 개체는 서로의 흔적을 주고 받는다.(transfer) - 조사자 또는 초기대응자는 이 법칙을 항상 염두. 4. Inman-Rudin Paradigm - 증거생성과 포렌식 과학을 적용한 필수 프로세스 [1] 범죄로 인식되기 전 ① 사건이 발생되면 물질은 분리되고(가분물), 전송된다.(transfer) [2] 범죄로 인식된 후 ① 증거를 분석하는 포렌식 과학적 방법에는 식별 / 분류 / 개별화 / 연관성 / 재구성 이 있다. 증거를 분석하는 과학적 방법 - Identification(식별) - 유일함을 식별하는 것이 아니다.[자국 , 카페트조각, 머리카락] 딱.. 2018. 9. 16.
사이버포렌식 기술 1. ROM 과 RAM ROM : 읽기만 가능한 기억장치이며 비휘발성 PROM : 최초에 1회 기록 가능 EPROM : 기록된 전체 삭제 및 재활용 가능 EEPROM : 전기적으로 부분 데이터 삭제 기능 RAM : 전원이 꺼지면 내용이 지워지는 휘발성 메모리 SRAM : 빠른 쓰기가 가능하며 CPU의 Cache로 사용 DRAM :고집적으로 PC의 메인 메모리 사용 2. NAND와 NOR Q) NOR와 비교했을 때 NAND의 특징으로 잘못된 것? 1) 직렬로 연결되어 있다 2) 제조단가가 싸고 대용량이다 3) 데이터 읽기 속도가 빠르다 4) 데이터 저장장치로 많이 이용된다 3. 하드디스크 구조 실린더 / 트랙 / 섹터 실린더 : 트랙 3개의 집합, 헤드의 이동없이 읽힐수 있다. 트랙 : 데이터를 물리적으로.. 2018. 9. 16.