정보보안 (43) 썸네일형 리스트형 볼리티리티를 이용한 메모리 분석 _ memdump1.vmem 볼리티리티를 이용한 메모리 분석 메모리는 휘발성이 강해서 PC가 켜져있는 상태에서 분석해야됨 - 분석 파일 : memdump1.vmem - OS 버전 : Win7SP1x64 1. 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump1.vmem imageinfo 가능성있는 운영체제를 모두 보여줌 이제 출력재지정해서 파일을 추출해보자 vol.py -f memdump1.vmem imageinfo > 추출물1\imageinfo.txt 메모리를 dump할때 해다 3. 프로세스 정보 확인 vol.py -f memdump1.vmem --profile=Win7SP1x64 pstree > 추출물1\pstree.txt .. 리눅스 서버 분석 리눅스 서버 분석 - 사용 도구 : Vmware, Wireshark - 웹-서버(리눅스)가 바이러스 감염 또는 공격을 받은 상태이다. - 리눅스 계정은 tester이며, 패스워드는 1234이다. - 또한, 원래 웹-서버의 IP 주소는 '192.168.127.134'이다. - ifconfig를 실시하여 VMware를 통해서 할당 받은 IP 주소를 확인한 이후, 로컬 PC에서 웹브라우저로 접속되는지 확인한다. Winscp 를 실행 후 리눅스서버에서 다음과 같이 로그파일들을 실제PC로 드래그앤드롭으로 다운받아온다 1. 웹-서버를 공격한 IP 주소와 공격 유형은 무엇인가? [힌트] /var/log/apache2/access.log $ sudo su [sudo] password for tester : 1234 #.. 윈도우 서버 분석 윈도우 서버 분석 - 사용 도구 : Vmware, Windows7, OTL, Immunity Debugger - Windows7 시스템에 악성코드가 삽입된 상태이다. 1. 악성코드 파일은 무엇인가? - OTL을 다음과 같이 설정한 이후, 'Run Scan' 버튼을 클릭한다. Processes All Modules All Services All Drivers All Standard Registry All Exrea Registry All File Scans 2000 Days V Skip Microsoft Files V Use No-Company-Name WhiteList - 로그 정보 스캔이 완료되면, 자동으로 OTL.TXT 파일이 열린다. - 검색 기능을 통해서 'Modified' 문자열을 검색하여 파일.. 로그 분석 실습-1 로그 분석 실습-1 - 사용 도구 : Notepad++ - 웹 공격을 받은 리눅스 서버의 로그 파일을 이용하여 로그 분석을 실시하도록 한다. - accnounts, file, network, osinfo, process, weblog 폴더 안에는 로그 파일이 저장되어 있다. - 각각의 로그 파일들을 Notepad++로 오픈하여 로그를 분석하도록 한다. 1. account - 현재 원격에서 로그인된 계정과 IP 주소는 어떻게 되는가? root pts/0 192.168.2.1 11:17 1.00s 0.12s 0.01s w user1 pts/1 192.168.2.1 11:38 1:30 0.01s 0.01s -bash user2 pts/2 192.168.2.201 11:38 1:09 0.01s 0.01s -ba.. 레지스트리 분석 레지스트리 분석 필요성 - 시스템 정보와 사용자 다양한 정보를 확인할 수 있다. - 최근 열람한 문서 파일 목록, 실행 파일 목록, 시스템 정보 등을 확인할 수 있다 . - 레지스트리 확인 명령어 : Ctrl+R -> ‘regedit’ 명령 실행 포렌식관점에서 사용자가 파일을 사용한 흔적을 찾는것이 목적 - HKEY CLASS ROOT : 파일 연관성과 COM 정보 - HKEY CURRENT USER : 현재 시스템에 로그인된 사용자 정보 - HKEY LOCAL MACHINE : 시스템 하드웨어 및 소프트웨어 정보 - HKEY USERS : 모든 사용자 정보 - HKEY CURRENT CONFIG : 시스템 시작시 사용되는 하드웨어 정보 레지스트리 분석시 중요 정보 - HKEY CURRENT USER, .. Window Forensics 02_프로파일 및 파일 다운로드 분석 @ 프로파일 및 파일다운 분석 실습-2 웹브라우저 히스토리 다운로드가 중요 "판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL 및 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오." - 사용 도구 : IE10Analyzer - 분석 파일 : WebCacheV24.dat 1. 분석 파일 위치 확인 D:\디지털 포렌식\03_윈도우포렌식\02_프로파일 및 파일다운 분석\실습-2\Users\7ester\AppData\Local\Microsoft\Windows\WebCache 2.'WebCacheV24.dat' 파일을 IE10Analyze.. Window Forensics 프로파일 및 파일 다운로드 실습 @ 프로파일 및 파일다운 분석 실습-1 "다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!" "경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 .. 스테가노그래피_영상파일 -1 1. 스테가노그래피_영상파일 -1 영상파일을 열어보면 빠른속도로 알파벳들이 순식간에 지나가는것을 확인할 수 있다. 영상속의 알파벳들을 Forevid를 이용하여 사진으로 추출해보자 영상을 올린 후 ' { ' , ' } ' 버튼을 눌러 추출할 영상읩 범위를 지정 한 후에 export images를 통해 추출해낸다. 추출이후 해당폴더로 가보면 다음과 같이 영상이 시간단위로 캡쳐되어 추출된것을 확인할 수 있다. 영상을 이미지화하여 시간단위로 잘라놓음 1. 스테가노그래피_영상파일 -2 영상파일을 열어보면 영상중간중간에 특정이미지파일이 떴다 바로 지워지는것을 볼 수 있다. 해당 사진들은 Forevid를 이용하여 사진으로 추출해보자 영상을 올린 후 ' { ' , ' } ' 버튼을 눌러 추출할 영상읩 범위를 지정 한 .. 이전 1 2 3 4 5 6 다음
