DFIR
Atola Taskforce E01 이미지 생성 과정
How to create E01 image with Atola Taskforce 디지털포렌식 하드웨어 장비인 Atola Taskforce를 사용하여 하드디스크에 E01 이미지를 생성하는 방법에 대해 다뤄보겠습니다. (Disk to File) 실습에 사용될 하드웨어 장비입니다. 장비의 좌측을 보면 디스크를 연결할 수 있는 포트들이 있습니다. SAS 포트 6개, SATA 포트 6개가 있으며 각 포트 별로 우측의 빨간색 스위치를 통해 Source 혹은 Target 으로 변경을 할 수 있습니다. SOURCE 초록색 전구?에 불이 들어오면 해당 포트가 Source로 사용되고 있다는 의미이며 불이 꺼져 있으면 Target으로 사용되고 있다는 의미입니다. 저는 위와 같이 SATA1번을 Source 로, SATA2번을..
프로그램 실행 관련 아티팩트 모음
지속적으로 추가하겠습니다. Registry MuiCache HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache AppCompatCache HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache AppCompatFlags HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Ass..
VMware Drag and Drop File 경로
VMware에서 Drag and Drop을 통해 파일을 복사하는 경우 아래 경로에 파일의 데이터를 저장한다. C:\Users\{User}\AppData\Local\Temp\vmware-{User}\VMwareDnD
작업 스케줄러 등록 PowerShell Script
1. 파일리스 공격의 최근 유형 침해사고에서 발견되는 공격자들의 공격 유형 중 하나는 특정 파일을 주기적으로 실행되도록 만드는 것입니다. 이와 같은 방법이 다양한 기능이 제공되는 파워셸과 함께 사용된다면 공격자가 원하는 대부분의 행위를 수행할 수 있을 것입니다. 침해사고 사례 중 파일리스 공격 유형의 비중이 높아지고 있다는 사실은 많이들 아시는 내용입니다. 파일리스 공격 유형 초기에는 공격파일을 남겨두지 않는 형태였습니다. 이러한 경우에는 파일리스 공격이 메모리에서 동작하기 때문에 시스템이 종료되는 경우 공격을 처음부터 수행해야하는 단점이 존재했습니다. 따라서 최근에는 공격자들이 지속적인 공격 수행을 위해 공격 파일을 시스템에 남겨두는 경우가 발견되고 있습니다. 공격에 필요한 최소한의 파일만 시스템에 남..
Falcon NEO 디스크 이미징 수행 과정
Falcon NEO를 이용한 디스크 이미징 디지털 포렌식 이미징 장비인 Falcon NEO 로 디스크 이미징을 수행하는 과정에 대해 알아보도록 하겠습니다. Falcon NEO 제품은 위와 같이 생겼습니다. 준비물로는 이미징을 수행 할 매체, 사본이 저장 될 매체(용량은 이미징 대상 매체보다 커야 함), 매체에 맞는 케이블이 필요하겠습니다. (USB, SATA, SAS 등) 우선 이미징 장비에 전원 케이블을 연결해서 부팅을 해줍니다. 부팅을 하면 위 사진과 같은 화면이 나옵니다. 제공하는 기능으로는 이미징, 데이터 소거, 쓰기 방지, 해시 검증 등이 있습니다. Source 연결 장비의 좌측을 보면 Source Write Protected라고 해서 이미징 대상 매체를 연결과 동시에 쓰기 방지가 적용되도록 되..
GPT(GUID Partition Table) - (2) 손상된 GPT 백업본 기반 복구
지난 번에 포스팅한 GPT 구조를 바탕으로 GPT가 손상되었을 때 백업본을 기반으로 해서 복구하는 방법에 대해 포스팅해보겠습니다. GPT 백업본 기반 복구 정상적인 이미지라면 0번 섹터에 Protective MBR, 1번 섹터에 GPT Header, 2번 섹터부터 GPT Partition table Entry가 위치해야 되지만 위의 손상된 이미지에는 데이터가 0으로 덮여있는 것을 확인할 수 있습니다. 이와 같은 경우 FTK Imager에서 이미지 마운트를 시도할 경우 파티션이 인식되지 않습니다. 이런 상황에서 FTK Imager에서 마운트할 수 있도록 백업본을 기반으로 MBR과 GPT를 복원하는 방법을 알아보겠습니다. GPT 백업본 기반 복구 - (1) 체크리스트 GPT 구조는 위와 같이 GPT Head..
GPT(GUID Partition Table) - (1) 개요 및 구조
앞서 MBR을 다뤘을 때, MBR의 한계를 극복하기 위해 생긴 것이 GPT라고 했었습니다. 이번에는 GPT가 어떤 것인지, 어떻게 구성되어있는지에 대해 분석해보겠습니다. GPT(GUID Partition Table) GPT는 MBR의 파티션 테이블 용량 제약을 개선하기 위해서 생겼습니다. MBR은 32bit 주소체계를 사용하고 있기 때문에 2TB의 용량 제한을 가지고 있습니다. (2^32 * 512) GPT는 64bit 주소체계를 사용하기 때문에 이론적으로 8ZB의 용량까지 사용이 가능하나 18EB 정도로 제한을 두고 있다고 합니다. (2^64 * 512) 그래서 64bit 운영체제를 사용하고 있다면 MBR보다는 GPT를 사용하고 있을 가능성이 크겠습니다. MBR에서는 주 파티션을 4개까지 생성이 가능하..