MBR(Master Boot Record) 부팅 시 필요한 Boot Code와 Partition Table 정보를 저장 MBR이 손상되면 부팅이 불가능 파티션 4개 이상부터는 서브 MBR을 할당받아 구성 Boot Code(446Byte) + Partition Table(64Byte) + Signature(2Byte) Boot Code : 0000 - 01BD Partition Table Entry #1 : 01BE - 01CD Partition Table Entry #2 : 01CE - 01DD Partition Table Entry #3 : 01DE - 01ED Partition Table Entry #4 : 01EE - 01FD Signature : 01FE - 01FF Partition Table ..

Anti-Forensic 불리하게 작용할 가능성이 있는 사용 흔적 또는 도구 실행 흔적 등의 데이터를 삭제 또는 차단 데이터 은닉, 삭제, 변형 등의 기법을 활용 분석시간 증가 및 데이터 수집 방해 최근에는 데이터의 유출과 많이 관련됨 유형 데이터파괴, 데이터 조작 데이터 변형, 데이터 은닉 부터플 소프트웨어 사용 원격 코드 사용 데이터 파괴/삭제 데이터를 분석하지 못하도록 삭제/파괴 하는 기법 데이터를 분석하지 못하도록 일반/영구 삭제하는 기법 완전삭제, 데이터 와이핑/덮어쓰기, 로그 및 이벤트 삭제, 사용자 흔적삭제, 포맷 등 유형 하드웨어 기반 -DBAN(Darik’s Boot and Nuke), Diskzapper, Drive Cleanser -Final Eraser, BlackMagic(Hard..

윈도우 포렌식 전 세계 70%의 운영체제로써, 사용자가 시스템을 사용하면서 남는 아티팩트를 분석하여, 파일 유출, 불법 다운, 문서 조작, 저장매체 연결흔적과 같은 흔적들을 분석하는 과정 범위 레지스트리, $MFT, 휴지통, 프리패치, 웹 로그, 쉘백, 점프리스트, 링크파일, 메모리파일(pagefile.sys), 스케쥴러, ADS, 이벤트로그, 썸네일/아이콘 캐시, 서비스 등 레지스트리 레지스트리 분석의 필요성 시스템 정보와 사용자의 다양한 정보 확인이 가능 최근 열람한 문서파일 목록, 실행파일 목록, 시스템 정보 등 윈도우 레지스트리 조작 흔적 조사 레지스트리 임의 조작 여부 등을 판단 하는 방법 : 레지스트리 편집기에서 최근 접근키와 즐겨찾기 항목 확인 및 bat과 같은 스크립트 사용시 파일 열람 확..

정의 컴퓨터 네트워크 트래픽에서 목적 정보를 수집하고, 분석하는 일련의 과정 또는 기술 기초 TCP 헤더 SYN(Synchronization) : 초기에 세션 설정에 사용됨 ACK(Acknowledgement) : SYN에 대한 응답 FIN(Finish) : 세션을 종료시키는데 사용 (정상 종료) RST(Reset) : 재설정을 하는 과정에서 사용 (비정상 종료) PSH(Push) : 대화형 트래픽에 사용되는 것으로 버퍼가 채워지기를 기다리지 않고 데이터를 바로 전달 URG(Urgent) : 긴급 데이터 전송 플래그 TCP 3-Way HandShaking 네트워크 통신연결에 있어 가장 기초가 되는 연결 방식 client -> server(SYN 전송) server -> client(SYN에 응답, ACK..

정의 정보통신시스템에 대한 비인가 된 행위 또는 위협의 발생을 의미 특징 대규모 : 동시에 다수의 시스템을 공격 분산화 : 다수의 공격 시스템을 통해 목표시스템을 공격 범죄적 성향 : 금전적 이익, 산업정보 침탈, 정치적 목적 등 종류 불법 침입, 탈취, 경유 자료의 유출, 변조, 삭제 불법자료 저장 서비스 방해 대응의 필요성 최근 APT 공격으로 인해 침해사고가 빈번하게 발생하고 있어, 그에 대한 적절한 대응 및 분석 기법의 적용이 필요 로그분석 ※ 리버스쉘 : 목표 대상 시스템의 취약점을 이용하여 쉘 세션을 시작한 다음 피해자의 컴퓨터에 액세스 1. 각 로그 확인 2. 프로세스 파일 - /var/www/upload/editor/image/reverse.php라는 파일을 실행한 것을 확인 가능 -> r..

개요 포렌식이란 법의학 등을 이용한 범죄에 관한 과학수사 정도로 말할 수 있으며, 디지털 포렌식은 컴퓨터를 통해 발생한 범죄에 대한 과학 수사 정의 컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로부터 자료를 수집, 분석 및 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차와 행위 목적 컴퓨터 범죄를 행하는 범죄자를 빠른 시간 안에 정확하게 찾아내서 범죄 행위에 이용된 증거를 확보하고, 이를 통하여 법적 대응이 가능하도록 해야 함 필요성 컴퓨터 관련 범죄 증가 및 증거자료의 디지털화 디지털포렌식 기술의 활용도 증가 5대 원칙 정당성의 원칙 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실함 신속성의 원..