- NEW초롱이의 하루
- kisa
- 길은 가면, 뒤에 있다
- C언어 예술가
- Zer0 day - Zer0 day
- Information Security
- Secure-EDU
- 앙큼한유채's 일상 Story
- Library of Ezbeat (잠정 폐쇄)
- The Factory
- 안드
- 모후모후의 커뮤니티
- 공학도의 잡다한 시선
- 안드2
- IT속에 코코아
- IP주소검색(whois)
- IP주소검색(좌표포함)
- 소프트웨어 경력 관리
- 해저 케이블 지도
- MAC주소검색
- IANA
- 포트번호검색
- 자신의IP확인
- 웹페이퍼캡처
- 나의패스워드보안등급
- 웹 취약점 분석
- IT용어정리
- GitHub
- 라이브러리 모음
- 웹마당넷
- 시스템콜참고
- BCD 변환
- 보안뉴스
- 코딩도장(C, Python)
- 백준알고리즘
- 코딩테스트 연습
- 웹 사이트 테스트
- 스크립트꾸미기
- ctf대회목록
- 전자신문
- hash 크랙
- CVE
- 도메인등록
- N클라우드
- BugBountyList
- 칼리공식사이트
- CR4FTING BOX
- 아스키코드 변환
- 웹 사이트 통계 및 평가
- PDF변환
- AWS 및 클라우드 정보
- 가상화 및 서버관련
- 티오리
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 리눅스
- 쉘 스크립트 if문
- nginx
- Java
- ACL
- Shell script
- LEVIATHAN
- 안드로이드
- docker
- centos docker
- 쉘 스크립트
- API
- synology
- RaspberryPi
- 라즈베리파이
- GPIO
- Linux
- 프로젝트
- 네트워크
- 그라파나
- 자바
- JSP
- GUI
- Android
- 메소드
- 쉘 스크립트 기초
- 클라우드
- Python
- Tkinter
- System
- Today
- Total
목록보안/Digital forensic (18)
IT창고
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
VHD로 알아보는 FAT32
2018/07/06 - [보안/Digital forensic] - FAT32 파일시스템에서 FAT32에 대해 알아봤으며 이번에는 실제PC에서 VHD를 만들어 자세히 살펴보도록 하겠습니다. 사용할 에디터는 hex editor입니다. 에디터의 종류도 여러가지가 있는데 010editor가 가장 유명하며 winhex도 있습니다. 010editor의 경우 유료 라이센스를 5만원 정도로 구입해야만 합니다. hex editor의 경우 https://mh-nexus.de/en/downloads.php 에서 무료로 다운로드가 가능합니다. 하드디스크의 구조를 잠시 살펴보면 1개의 sector가 512byte이며 대부분 클러스터 단위로 많이 관리를 합니다. 단 문제가 될 경우가 있는데 DB의 경우 DB의 칼럼 용량을 주의해..
감염된 디스크 복구 (3.20 전산대란)
2013년 3월 20일에 한국의 주요 언론 및 기업의 전상망이 마비되고 대다수의 컴퓨터들이 감염되었던 사건이 있었습니다.해당 악성코드는 MBR, VBR영역을 모두 특정 문자열로 변경시켜 부팅이 되지 못하게 합니다. 망가진 하드디스크를 복구해보도록 하겠습니다. 실습해볼 환경은 가상머신입니다. 확인해보면 MBR영역이 특정 문자열로 변경되어있는걸 확인해볼수있습니다. HxD에디터로 먼저 MBR 및 VBR위치를 확인해보도록 하겠습니다. 3C80 -> 15488번 섹터가 MBR위치에 해당됩니다. 이 위치로 가보면 MBR이 특정문자열로 바꿔있는데 VBR도 특정문자열로 변형되었으며 VBR위치는 위의 문자열 [ 48 41 53 54 41 54 49 2E ]로 찾아보겠습니다. 2곳에서 문자열로 변형된 섹터를 찾았습니다.파..
우리은행 가짜 보안로그 프로그램 디스크 복구
2017년도에 한국의 은행중 하나인 우리은행의 보안로그 수집기 프로그램으로 위장한 악성코드가 유포되었습니다.http://www.boannews.com/media/view.asp?idx=53314&kind=1&search=title&find=%BF%EC%B8%AE%C0%BA%C7%E0+%BA%B8%BE%C8%B7%CE%B1%D7 자세한 내용은 위의 기사를 참고합니다. 이 악성코드를 물리PC에서 작동하면 MAC, IP주소를 수집하며 가상머신에서 작동할 경우 가상디스크의 MBR영역을 모두0으로 변경시킵니다. 악성코드로 감염된 가상머신PC 디스크파일을 ftk imager로 확인해보았는데 MBR영역이 아예 00값으로 지워져있습니다. ftk tool에서는 얻을 정보가 없을거같습니다. 40~47오프셋의 정보로 MBR..
Golden_Eye 랜섬웨어 디스크 복구
Golden_Eye 랜섬웨어가 걸린 디스크를 복구하겠습니다.Golden_Eye는 PETYA의 변종 랜섬웨어로 MBR를 감염시키고 구조는 PETYA와 비슷하며 PETYA가 7202Byte를 변경시킨다면 Golden_Eye는 4602Byte만 변형시킵니다. Golden_Eye 랜섬웨어가 걸린 가상머신입니다. 색깔만 노란색으로 바뀌고 PETYA와 다른점이 거의 없습니다. ftk imager로 0x07연산원본이 있는곳으로 가보았습니다. PETYA와는 다르게 0x37이 아닌 0x07인 점이 다릅니다. 15488번 섹터 + 34번 섹터로 ftk에서 보았던 연산원본이 있는 섹터로 이동했습니다. 이제 이 원본을 XOR연산을 해서 복호화를 해줍니다. 복호화를 하고 복호화된 내용을 MBR섹터에 넣어주고 악성데이터가 있는 ..
PETYA 랜섬웨어 디스크 복구
PETYA 랜섬웨어가 걸린 디스크를 복구하도록 하겠습니다.랜섬웨어 PETYA 악성코드는 2016년 04월에 처음 발견되었으며 우리나라에서도 감염된적이 있고 MBR영역을 감염시킵니다. PETYA에 걸린 가상머신입니다. 랜섬웨어가 걸리고 파일들의 암호화가 걸리며 재부팅을 하면 나타나게 되는 화면입니다. 아무키나 입력하면 금전을 요구하는 문구들이 있으며 key값을 입력해야하는 복호화가 되는 방식입니다. PETYA에 감염되면 총 0x7202 오프셋까지 감염이 됩니다. 복구하는 방법은 암호화된 MBR을 XOR연산을 통해 복호화를 하고 악성 데이터가 덮어 쓰인 영역을 모두 0으로 채워주면 됩니다. 즉 MBR~VBR사이를 0으로 채우면 됩니다. ftk imager로 랜섬웨어가 걸린 디스크파일을 열어보고 0x37연산원..
suninatas - 포렌식 32번 Terrorist 문제풀이
http://suninatas.com/ 워게임 사이트의 포렌식문제입니다. 경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다. 당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)2. 다음 테러 장소는? 문제에는 USB_Image라는 덤프파일이 있습니다.먼저 ftk imager로 열어보려고 하니 인식이 제대로 되지않아서 열수가없습니다. 덤프파일의 파티션상태가 이상하게 손상되어있는걸 확인할수있습니다. 손상되어 ftk imager로도 열..