분류 전체보기 (97) 썸네일형 리스트형 2021 debugCTF 문제 출제시작 보호되어 있는 글입니다. Forensic - 2 FAT32 File System 1 이론 FAT32 파일시스템, 개인적으로 생각하기에 알아두면 좋은것만 체크함 중요 - 리틀엔디안 방식으로 읽어야함. Jump boot Code : 부트코드로 점프하기 위한 명령어 OEM ID : 운영체제별 ID Byte per Sector : 섹터당 바이트 수 Sector Per Cluster : 클러스터 당 섹터수 Reserved Sector Count : 예약된 영역의 섹터수 Number of Fats(table) : FAT 테이블의 수 Media(type) : 디스크의 상태 ex) 0xF8 = Fixed disk Total Sector 32 : 4Byte크기의 파티션 총 섹터 수 Fat 32 Size : Fat하나의 영역이 가지는 4Byte크기의 섹터수 File System Version : 파일시스템의 .. Forensic - 1 디지털 포렌식 기술-4 4.네트워크 1. 수집 1. 유선 네트워크 패킷 수집 : 이더넷, 이메일 첨부파일 및 기타 네트워크 트래픽이 암호화되어있지 않을 경우만 재구성할수 있다. ARP테이블에는 해당IP와 MAC주소가 나와있다. 용의자의 다른 호스트와의 연결이 항상 암호화되어 있다는것은 다른 호스트가 용의자의 공범임을 나타낸다. 2. 무선네트워크 패킷수집 : 무선네트워크상의 패킷은 보안이 잘되어있지 않다. 패킷을 공기중에 뿌려 전달하는 방식으로 30분만 배워도 중간에서 패킷을 가로채는게 가능하다. 3. 네트워크 장비 이미징 : (찾아봐도 안나온다.) 네트워크 장비 안에 있는 자료들을 이미징하는것 같다. 4. 네트워크 로그 수집 : 서버 및 네트워크 장비에 관한 사용자 입출력사항, 프로그램사용 내역, 자료 변경내역, 시작,종료시간.. Forensic - 1 디지털 포렌식 기술-3 시작하기에 앞서, 앞에서 다뤘던 내용은 .으로 표기했습니다. 3. 어플리케이션 1. 수집 1. 데이터베이스 수집 : . 2. 어플리케이션 로그 수집 : 행동로그, BIG QUREY 1. 행동로그 설계는 1,2,3단계로 나뉘는데 가상의 백신예약앱을 예로 들어 설명하자면, 1. 백신예약하기 버튼 클릭을 1000번 눌렀다. 2. 백신예약하기 버튼이 1000번 눌렸는데 이중 300개는 화이자고 700개는 모더나이다. 또한 화이자와 모더나의 가격은 ~이고 home화면에 있는 모더나 홍보영역을 통해 모더나 백신을 클릭한수가 더 많다. 3. 백신예약하기 버튼이 1000번 눌렸는데 이중 300개는 화이자고 700개는 모더나이다. 또한 화이자와 모더나의 가격은 ~이고 home화면에 있는 모더나 홍보영역을 통해 모더나 백.. Forensic - 파일구조 문제들 1. PNG,JPG,PDF의 파일구조를 알아야한다. Forensic - 1 디지털 포렌식 기술-2 1. 시스템 1. 수집 1. 라이브데이터 수집 : 현장대응시 시스템이 활성화되어있으면 활성데이터를 수집후 전원을 끄는것이 바람직하다. 실행,연결중인 프로세스, 현재 로그인사용자, 현재 시스템 리소스 상황, 현재전송중 패킷, 클립보드에 저장된 패킷, 기타 등등이 있다. 2. 메모리수집 : 침해사고 대응에 많이 활성화 되어있는 기법이다. 사용자의 행위에 대한 정보를 얻을수 있다. 하드웨어를 이용한 덤프(이 기능을 지원하는 PC에서만 사용하기때문에 최근에는 잘 사용되지 않는다. 소프트웨어를 이용한 덤프(가장 많이 쓰이지만 덤프를 위해 실행한 소프트웨어도 메모리에 저장됨) 크래시 덤프(침해사고 대응에서는 사용하지만 디지털포렌식에서는 활용도가 낮다.) 절전모드 덤프(절전모드시 사용) 가상화 시스템덤프(가상머신으로.. Forensic - 1 디지털 포렌식 기술-1 1. 저장장치 1.수집 1. 이미징 : 저장매체의 모든 물리적 증거를 파일형태로 만드는 작업을 의미한다. 디지털포렌식분야에서는 원본증거(데이터)가 수집,이동,보관,분석등 일련의 과정을 거치면서 변조가 되면 안되기 때문이다. 최근에는 획득한 이미지파일의 손상을 보호하기 위해 별도의 포렌식 이미지 포맷을 사용한다고한다. 대표적인 포맷으로는 EWF,AFF,E01이 있다. 대부분 이미징 방식을 사용한다. 침해사고등의 경우는 용량때문에 압축이 필수적, 이미징기법 사용 장점 : 파일로 만들면서 용량이 압축되어 작아진다. 하드 하나만 이미징하면 큰 차이가 없지만 실제 침해사고가 났을대 여러 저장매체를 이미징하면 엄청난 장점이 된다. (용량=돈) 2. 복제 : 저장매체를 그대로 복제하는것을 말한다. 복사와는 다르게 복.. dreamhack - rev 8 보호되어 있는 글입니다. 이전 1 ··· 6 7 8 9 10 11 12 13 다음
