전체 글 (63) 썸네일형 리스트형 하드 디스크 구조 및 MBR 하드 디스크 구조 및 MBR - 사용 도구 : AccessData FTK Imager, HxD - 분석 파일 : MBR.001 1. 하드 디스크 구조 - 플래터 : 실제로 데이터가 저장되는 영역 - 스핀들 모터 : 플래터를 회전하는 모터 - 헤드 : 실제 데이터를 읽기/쓰기 담당 - 엑츄에이터 암 : 헤드를 데이터가 있는 위치로 이동 담당 - 커넥터 : 전원 공급/데이터 전송 담당 - 트랙 : 섹터 단위의 모음이며 원심 전체가 트랙이 됨 - 섹터 : 하드디스크의 물리적인 최소 단위(기본 : 512Byte) - 트랙 섹터 : 같은 구역에 있는 섹터 집합 - 클러스터 : 섹터를 일정 크기로 묶어서 데이터의 입출력 단위 지정 2. 슬랙(Slack) - RAM Slack : 섹터에 남는 비 할당 영역 - Fil.. 고객 정보를 유출한 증거 수집 고객 정보를 유출한 증거 수집 - 수집정보 : 디스크 이미지('Linux.E01' 파일), 직원 전화번호(02-740-1809) - 파티션1 내용 확인 가능 - 파티션5 암호화되어 있음 우선 FTK Imager으로 Linux.E01을 열어보자. 다음과 같이 파티션이 Partition1, Partition3, Partition5으로 나누어져있고, 5번 파티션은 암호화되어 열리지 않는것을 확인할 수 있다. 우선 Partition 1을 확인해보자. Ext3 -> 리눅스 파일시스템 파티션5는 다음과 같이 lux를 이용해 암호화됨 partition6은 별 내용이 없어서 생략하겠다. 1. 'truecrypt' 설치 및 검색 흔적 - home -> kinfo -> '.bash_history' 파일 파일 명 앞에 '... ㅁ 메모리는 pc가 꺼지면 같이 사라지므로 pc가 켜져있는 상태에서 메모리를 덤프한 후 그 파일로 분석을 진행해야함 FTK imager를 이용해 저렇게 메모리를 캡쳐해서 분석하면됨 볼리티리티를 이용한 메모리 분석2 _ memdump2.vmem 볼리티리티를 이용한 메모리 분석2 - 분석 파일 : memdump2.vmem - OS 버전 : WinXPSP3x86 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump2.vmem imageinfo > 추출물2\imageinfo.txt 추출한 imageinfo.txt 파일을 notepad ++ 으로 오픈해서 열어보자 3. 프로세스 정보 확인 vol.py -f memdump2.vmem --profile=WinXPSP3x86 pstree > 추출물2\pstree.txt vol.py -f memdump2.vmem --profile=WinXPSP3x86 psscan > 추출물2\psscan.txt vol.py.. 볼리티리티를 이용한 메모리 분석 _ memdump1.vmem 볼리티리티를 이용한 메모리 분석 메모리는 휘발성이 강해서 PC가 켜져있는 상태에서 분석해야됨 - 분석 파일 : memdump1.vmem - OS 버전 : Win7SP1x64 1. 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump1.vmem imageinfo 가능성있는 운영체제를 모두 보여줌 이제 출력재지정해서 파일을 추출해보자 vol.py -f memdump1.vmem imageinfo > 추출물1\imageinfo.txt 메모리를 dump할때 해다 3. 프로세스 정보 확인 vol.py -f memdump1.vmem --profile=Win7SP1x64 pstree > 추출물1\pstree.txt .. 리눅스 서버 분석 리눅스 서버 분석 - 사용 도구 : Vmware, Wireshark - 웹-서버(리눅스)가 바이러스 감염 또는 공격을 받은 상태이다. - 리눅스 계정은 tester이며, 패스워드는 1234이다. - 또한, 원래 웹-서버의 IP 주소는 '192.168.127.134'이다. - ifconfig를 실시하여 VMware를 통해서 할당 받은 IP 주소를 확인한 이후, 로컬 PC에서 웹브라우저로 접속되는지 확인한다. Winscp 를 실행 후 리눅스서버에서 다음과 같이 로그파일들을 실제PC로 드래그앤드롭으로 다운받아온다 1. 웹-서버를 공격한 IP 주소와 공격 유형은 무엇인가? [힌트] /var/log/apache2/access.log $ sudo su [sudo] password for tester : 1234 #.. 윈도우 서버 분석 윈도우 서버 분석 - 사용 도구 : Vmware, Windows7, OTL, Immunity Debugger - Windows7 시스템에 악성코드가 삽입된 상태이다. 1. 악성코드 파일은 무엇인가? - OTL을 다음과 같이 설정한 이후, 'Run Scan' 버튼을 클릭한다. Processes All Modules All Services All Drivers All Standard Registry All Exrea Registry All File Scans 2000 Days V Skip Microsoft Files V Use No-Company-Name WhiteList - 로그 정보 스캔이 완료되면, 자동으로 OTL.TXT 파일이 열린다. - 검색 기능을 통해서 'Modified' 문자열을 검색하여 파일.. 로그 분석 실습-2 로그 분석 실습-2 - 사용 도구 : Notepad++ - 웹 공격을 받은 리눅스 서버의 로그 파일을 이용하여 로그 분석을 실시하도록 한다. - weblog 폴더 안에는 로그 파일이 저장되어 있다. - 각각의 로그 파일들을 Notepad++로 오픈하여 로그를 분석하도록 한다. 1. access1.log access1.log 파일을 Notepad++ 으로 열어서 분석해보자 union select --> sql injection 20 - 22 : XSS 공격 26 - 31: path traversal 공격 웹서버한테 cd ../ .. /이용해서 디렉토리이동시킴 35 - HTML iframe injection 40 - bash shell shock 취약점 인젝션 - 공격 패턴? 여러가지 공격이 섞여있다. - .. 이전 1 2 3 4 5 6 ··· 8 다음
