클라우드 컴퓨팅 개인용 컴퓨터보다 성능이 뛰어난 컴퓨터난 저장장치 등의 컴퓨터 자원을 다른 곳에서 빌려 사용할 수 있도록 처리해주는 IT기술 서비스 방식 IaaS(Infra as a Service) : 물리적 서버(CPU, Memory 및 OS), 네트워크, 스토리지르 가상화하여 다수의 고객을 대상으로 유연하게 제공하는 인프라 서비스 ex) 웹 서버 PaaS(Platform as a Service) : Web 기반의 서비스 또는 애플리케이션 등의 개발 및 실행을 위한 표준 플랫폼 환경을 서비스 형태로 제공하는 서비스 ex) 웹 서버 구축해서 Wordpress 까지 SaaS(Software as a Service) : 구글의 Gmail이나 MS Office 365 등과 같이 응용프로그램을 인터넷 및 웹 브..

MBR(Master Boot Record) 부팅 시 필요한 Boot Code와 Partition Table 정보를 저장 MBR이 손상되면 부팅이 불가능 파티션 4개 이상부터는 서브 MBR을 할당받아 구성 Boot Code(446Byte) + Partition Table(64Byte) + Signature(2Byte) Boot Code : 0000 - 01BD Partition Table Entry #1 : 01BE - 01CD Partition Table Entry #2 : 01CE - 01DD Partition Table Entry #3 : 01DE - 01ED Partition Table Entry #4 : 01EE - 01FD Signature : 01FE - 01FF Partition Table ..

Anti-Forensic 불리하게 작용할 가능성이 있는 사용 흔적 또는 도구 실행 흔적 등의 데이터를 삭제 또는 차단 데이터 은닉, 삭제, 변형 등의 기법을 활용 분석시간 증가 및 데이터 수집 방해 최근에는 데이터의 유출과 많이 관련됨 유형 데이터파괴, 데이터 조작 데이터 변형, 데이터 은닉 부터플 소프트웨어 사용 원격 코드 사용 데이터 파괴/삭제 데이터를 분석하지 못하도록 삭제/파괴 하는 기법 데이터를 분석하지 못하도록 일반/영구 삭제하는 기법 완전삭제, 데이터 와이핑/덮어쓰기, 로그 및 이벤트 삭제, 사용자 흔적삭제, 포맷 등 유형 하드웨어 기반 -DBAN(Darik’s Boot and Nuke), Diskzapper, Drive Cleanser -Final Eraser, BlackMagic(Hard..

윈도우 포렌식 전 세계 70%의 운영체제로써, 사용자가 시스템을 사용하면서 남는 아티팩트를 분석하여, 파일 유출, 불법 다운, 문서 조작, 저장매체 연결흔적과 같은 흔적들을 분석하는 과정 범위 레지스트리, $MFT, 휴지통, 프리패치, 웹 로그, 쉘백, 점프리스트, 링크파일, 메모리파일(pagefile.sys), 스케쥴러, ADS, 이벤트로그, 썸네일/아이콘 캐시, 서비스 등 레지스트리 레지스트리 분석의 필요성 시스템 정보와 사용자의 다양한 정보 확인이 가능 최근 열람한 문서파일 목록, 실행파일 목록, 시스템 정보 등 윈도우 레지스트리 조작 흔적 조사 레지스트리 임의 조작 여부 등을 판단 하는 방법 : 레지스트리 편집기에서 최근 접근키와 즐겨찾기 항목 확인 및 bat과 같은 스크립트 사용시 파일 열람 확..

정의 컴퓨터 네트워크 트래픽에서 목적 정보를 수집하고, 분석하는 일련의 과정 또는 기술 기초 TCP 헤더 SYN(Synchronization) : 초기에 세션 설정에 사용됨 ACK(Acknowledgement) : SYN에 대한 응답 FIN(Finish) : 세션을 종료시키는데 사용 (정상 종료) RST(Reset) : 재설정을 하는 과정에서 사용 (비정상 종료) PSH(Push) : 대화형 트래픽에 사용되는 것으로 버퍼가 채워지기를 기다리지 않고 데이터를 바로 전달 URG(Urgent) : 긴급 데이터 전송 플래그 TCP 3-Way HandShaking 네트워크 통신연결에 있어 가장 기초가 되는 연결 방식 client -> server(SYN 전송) server -> client(SYN에 응답, ACK..

정의 정보통신시스템에 대한 비인가 된 행위 또는 위협의 발생을 의미 특징 대규모 : 동시에 다수의 시스템을 공격 분산화 : 다수의 공격 시스템을 통해 목표시스템을 공격 범죄적 성향 : 금전적 이익, 산업정보 침탈, 정치적 목적 등 종류 불법 침입, 탈취, 경유 자료의 유출, 변조, 삭제 불법자료 저장 서비스 방해 대응의 필요성 최근 APT 공격으로 인해 침해사고가 빈번하게 발생하고 있어, 그에 대한 적절한 대응 및 분석 기법의 적용이 필요 로그분석 ※ 리버스쉘 : 목표 대상 시스템의 취약점을 이용하여 쉘 세션을 시작한 다음 피해자의 컴퓨터에 액세스 1. 각 로그 확인 2. 프로세스 파일 - /var/www/upload/editor/image/reverse.php라는 파일을 실행한 것을 확인 가능 -> r..

개요 포렌식이란 법의학 등을 이용한 범죄에 관한 과학수사 정도로 말할 수 있으며, 디지털 포렌식은 컴퓨터를 통해 발생한 범죄에 대한 과학 수사 정의 컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로부터 자료를 수집, 분석 및 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차와 행위 목적 컴퓨터 범죄를 행하는 범죄자를 빠른 시간 안에 정확하게 찾아내서 범죄 행위에 이용된 증거를 확보하고, 이를 통하여 법적 대응이 가능하도록 해야 함 필요성 컴퓨터 관련 범죄 증가 및 증거자료의 디지털화 디지털포렌식 기술의 활용도 증가 5대 원칙 정당성의 원칙 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실함 신속성의 원..

ARP Spoofing 근거리 통신망(LAN)에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법 클라이언트와 서버가 평문으로 통신한다면 중간에서 패킷을 가로채 내용을 확인할 수 있음 Clear Text HTTP (Credentials) ettercap -G 오른쪽 위 체크 클릭 왼쪽 위 말풍선 모양 클릭 -> 같은 망안의 호스트 검색 게이트웨이와 희생자 ip target 지정 웹 페이지에서 로그인 입력 로그에서 로그인 정보 확인 DNS Spoofing 희생자가 dns로 웹 페이지 접근할 때 다른 사이트로 변조 vim /etc/ettercap/etter.dns *.dns.* A 유도할 ip ettercap -G 타겟 지정 Plugins -> Man..