정보돠

[플러그인을 이용한 프로세스 분석] 프로세스 실행 리스트 정보 확인 – pslist 프로세스 실행 리스트 정보 확인 – psscan 특별한 내용 X 프로세스 실행 리스트 정보 확인 – psxview 쓰레드 변화확인 가능 티파니 파일이 수상해 보임 아마도 인터넷익스프로어를 통해 타고 들어왔을것 .. [DC3 Windows Memory Image Analysis 실습] 시나리오 : http://gerbenkleijn.com/wp-content/uploads/2013/10/CFR-412-Complete.pdf - 큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴 퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리 자는 그 고용인의 시스템을 모니터하여 ..

[MFT분석실습간단리뷰] MBR->BR(Boot Record)->start of MFT->파일 Step 1 MBR로부터 해당 파티션의 부트로더 검색 -해당 파티션은 0*3F(63) 섹터부터 시작 Step 2 부트섹터에서 각 테이블 조사 8개의 섹터=1클러스터 63섹터 = 시작 섹터 하나의 MFT엔트리는 = 2 섹터크기 지님 Step 3 MFT엔트리 27번째부터 일반적인 파일에 대한 엔트리들이 등장 Step 4 MFT의 20번째 있는 두 바이트는 속성의 첫 값의 위치를 가리킴 [MFT분석실습] 컨트롤러:IDE 부분의 오른쪽을 클릭하여 새 디스크 만들기 강의처럼 sample2 라고 했다가 생성할 수 없다는 문구가 떠서 아래와 같은 화면으로 진행하였다. 음 왼쪽 사진_ 강의처럼 저기 저장소 트리에 생겨야하는데..

MBR -> 최대 4개의 파티션이 들어갈 수 있는 부트섹터 존재 // 디스크의 파티션에 대한 정보를 최대 4까지 등록 가능 Smss: 세션매니저서비스센터 • MBR(Master Boot Record) : 운영체제가 부팅할 때 POST(Power On Self-Test, 자가진단) 과정을 마친 후, 저장매체의 첫 번째 섹터 호출 시도 보통 저장공간 : 512MB 포렌식할 때 대부분 많이 사용한다고 함 // SweetScape Software Inc - Download 010 Editor SweetScape Software Inc - Download 010 Editor Please choose which operating system you are using below. If your operating sy..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

[보안 메커니즘] CPU - 링 모드 RING 0,3 주사용 / 대체로 1,2번은 자주 사용 X RING 0-윈도우 운영체제의 모든 커널 코드 RING 3-유저모드 프로그램 CPU가 끊임없이 링 레벨을 확인함 -> 권한이 없는 메모리 접근 시 인터럽트!! 커널인지 유저 모드인지 링모드를 통해 확인함 유저는 프로세스를 바로 접근 불가 유저모드 쪽에 PEB,TEB 를 통해 프로세스 접근 가능 (??) KTHREAD에서만 디스패칭 정보 있음 *윈도우는 특권과 계정권한을 모두 사용하여 시스템 관리자로 어떤 계정들이 보안 관련 작업을 할 수 있는지 제어 [보안 식별자 : SID(Security ID)] - 시스템에서 동작하는 객체들을 식별하기 위해서 사용 (로컬과 도메인 그룹, 로컬 컴퓨터, 도메인, 도메인 멤버..

[커널] - 운영체제 핵심!!//운영 체제의 다른 부분 및 응용 프로그램 수행에 필요한 여러 가지 서비스 제공//하드웨어의 추상화 [커널의 기능적인 요소] 프로세스 관리 - 커널은 CPU 스케줄링을 관리 - 각각의 스레드별로 CPU 스케줄링 - 모든 스레드와 프로세스에 대한 정보는 메모리상의 데이터 구조체에 의해서 유지, 관리 [파일 접근] - 디바이스 드라이버에 의해서 각종 파일시스템이 구현 및 처리 - 파일시스템에 대한 일관적인 인터페이스 제공 [보안] - 프로세스간의 독립성 보장 - 각각의 프로세스 메모리 영역 분리 및 권한 설정 (대표적예시: 안티바이러스 .., 보안관리도 커널이 관리한다 ) [메모리 관리] - 메모리 주소는 동시에 여러 개의 물리 메모리 주소로 매핑 실습 – Windbg를 활용한..

써니나타스 (suninatas.com) 9번문제 파일을 암호입력 후 압축을 풀어준 상태이다. 올리디버그로 파일을 열어주었다. 캡쳐한 사진을 보면 "Congratulation!" 이라 적혀있었고 위에 아스키코드인 913465 를 확인할 수 있었다. ; 키 값으로 913465 넣어주었더니 성공이다 !

[Memory Forensic Volatility 와 악성코드 분석] *메모리 포렌식 -물리 메모리에 존재하는 모든 흔적을 확인 가능 -컴퓨터 하드웨어 중 주기억장치(메모리)에 존재하는 휘발성 데이터를 덤프분석 ex:프로세스,네트워크 연결,윈도우 레지스터리,악성코드 파일 정보 .... 주기억장치 // 폰 노이만식 구조 (cpu RamHDD) *디지털 포렌식 - 디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위 의 사실 관계를 법정에서 규명하기 위한 절차와 방법 < 법정에서 규명하기 힘듦 - 기업에서 정보보호 도구로 사용하거나 기업의 위험관리, 정책 관련 도구로 사용 5가지 요소: 무결성,진정성,동일성,신뢰성,정당성 장점 단점 -RAM // 시스템이 활성화돼..

CodeEngn.com [코드엔진] 오늘 풀어볼 문제는 L08다 !!!! ; OEP를 구해야하는데 OEP란 Original Entry Point, 프로그램의 시작 위치를 의미한다. ; 먼저 주어진 파일들을 반디집을 통해 풀어주었다 파일을 실행하니 계산기?같은 파일이 열렸고 숫자를 눌러보니 아무거나 입력 가능하였다. PIED를 이용하여 분석하면 ; 음 파일은 upx패킹이되어있다. 이번 풀이는 패킹된 파일을 프로그램을 이용해 언패킹 하고 디버깅을 통해 수동으로 OEP를 확인하는 방법으로 풀 예정이다. 올리디버그를 실행하니 다음과 같이 뜬다. 뭘까 ? 흠 알고보니 내가 올리디버그를 이상하게 설치한 거 같다. UPX 를 다운받고 실행시키니 올리디버그에 문제가 있는지 이 프로그램이 실행되지 않는다/ [CodeEn..