[Memory Forensic Volatility 와 악성코드 분석] ~7/31 강의 정리본

MBR -> 최대 4개의 파티션이 들어갈 수 있는 부트섹터 존재 // 디스크의 파티션에 대한 정보를 최대 4까지 등록 가능 

Smss: 세션매니저서비스센터

• MBR(Master Boot Record)
: 운영체제가 부팅할 때 POST(Power On Self-Test, 자가진단) 과정을 마친 후, 저장매체의 첫 번째 섹터 호출 시도

보통 저장공간 : 512MB

 

포렌식할 때 대부분 많이 사용한다고 함 // SweetScape Software Inc - Download 010 Editor

SweetScape Software Inc - Download 010 Editor

 

강의에서는 가상머신을 키고 위에서 다운로드 받은 프로그램을 실행시키던데 내 화면에선 찾을 수 없다..

그래서 일단 임시방편으로 내 노트북 본체에서 다운로드 받은 프로그램을 실행시켰다.

 

* 가상머신이 아닌 , 노트북 본체에서 프로그램 진행한 상태에서 실습하려 시도 But 처음부터 Physical Drive 에서부터 막힘 .. 오마이갓 ㅎㅋ *

[File]-[Open Drive]

 

 

제대로 실행되었다면

이런 식으로 나와야 한다. 맨 오른쪽에 보이는 알파벳이 섞여 보이는 곳이 MBR 공간임 

0바이트로 자리를 채워준다면 부팅X

 

 

#

이런 식으로 망가지는거임 

 

MBR을 당장 지운다고 바로 망가지는건 아님 ..

80은 부팅가능하므로 부트섹터로 정하는 것임

 

 

---

[시스템 프로세스]

굳이 실행하지 않아도 부팅으로 다 알아서 해줌

 

[서브시스템 확인하기 실습]

-> 강연자분 열심히 혼자 실습해주심 ... 강연자분처럼 같은 화면이 뜨지 않음

추후 혼자 해보기 !!

 

일부 악성코드가 svhost에 숨어있을 수 있음 확인바람 !!

---

 

File System
- 파일 시스템은 보조 기억 장치에 데이터의 저장과 검색 방법을 제어하는 데 사용
->체계적인 저장 방식과 검색 방식을 사용하여 데이터 저장, 검색 등을 최적화

• NTFS (New Technology File System)
- 마이크로 소프트에 의해 개발
- 1993년 Windows NT 3.1과 함께 발표
- Bitmap, MFT(Master File Table)

 

파일시스템을 배우는이유 ? => MFT 때문 

MFT (Master File Table)
- 파일에 대한 meta data를 저장하는 곳
*meta data : 데이터 관리상 필요한 작성자·목적·저장 장소 등 속성에 관한 데이터

https://en.wikipedia.org/wiki/NTFS#Metafiles

NTFS에서 모든 파일과 디렉터리, 메타파일은 meta data로 MFT에 저장됨

 

MFT Entry 구조

-MFT를 구성하는 각 요소

-하나의 Entry에 하나의 파일 또는 디렉터리 정보를 지님

MFT Header // ENtry의 상태를 담고 있음

 

Attribute // 파일 속성 저장 방식

MFT Entry 는 MFT Entry Header 와 Attribute 로 구성

Attributesms Header 와 Content 로 구성

End Marker (0*FFFF FFFF)