본문 바로가기

전체 글218

NTFS NTFS New Technology File System 파일 시스템의 한 종류로 FAT의 구조상 한계점을 개선하기 위해 개발되었다. (FAT은 나중에 따로 정리 예정) +) Windows NT 이상에서 사용 가능 구조 VBR Windows 부팅을 위한 기계어 코드와 NTFS 여러 설정 값들이 있다. 이 영역을 분석하면 볼륨의 크기, 클러스터의 크기, MFT 시작 주소의 정보를 얻을 수 있다. 운영체제가 NTFS를 인식하기 위한 시작점 (망가지면 인식 불가) MFT 볼륨에 존재하는 모든 파일, 디렉토리에 대한 정보를 가진 테이블 NTFS에서 가장 중요한 구조체 파일/디렉토리가 늘어날수록 MFT의 크기도 커진다.(하지만 한번 들어난 MFT는 파일이 줄어든다고 해서 줄어들진 않음) Data Area 파일과 .. 2021. 2. 6.
저장장치 구조 저장장치는 대략적으로 다음 그림으로 표현할 수 있다. 0. MBR Master Boot Record 시스템부팅 과정에서 운영체제의 커널 파일을 불러와 구동시키는 BR(Boot Record) 영역을 관리하는 영역 1. MBR Slack 먼저 Slack은 물리적인 구조와 논리적인 구조의 차이로 인해 발생하는 낭비 공간이다. 할당되지만 사용되지 않는 부분인데 이런 슬랙 공간은 정보를 은닉할 수 있기 때문에 포렌식 관점에서 유의해 관찰할 필요성이 있다. 2. VBR Volume Boot Record 부트 섹터와 추가적인 부트 코드가 저장되어 있다. 클러스터 키그 또는 포맷 소프트웨어에 따라 유동적인 크기를 가진다. 3. Volume Data 파일 시스템에 의 해 할당된 볼륨 데이터 메타 데이터와 파일 데이터로 .. 2021. 2. 6.
MBR MBR Master Boot Record 운영체제가 어디에, 어떻게 위치해 있는지를 식별해 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로써 첫 번째 섹터에 존재한다. MBR은 Boot code와 Partition table에 대한 정보를 가지고 있다. Boot code 부팅과 관련된 코드를 담고 있는 영역 어떤 시스템이든 같은 부분 446byte Partition table 파티션 정보를 담고 있는 영역 총 4개까지의 파티션 정보를 저장 가능 64byte -> 한 파티션 당 16byte Signature MBR의 끝을 알리는 signature 55AA 존재 (2byte) 16바이트 파티션의 세부적인 데이터 구조 범위 설명 크기 0~0 Boot Flag 00 = 부팅 불가 80 = 부팅 가능 1.. 2021. 2. 6.
스테가노그래피란? 스테가노그래피는 이미지 파일에서 메시지를 숨기는 것 삽입과 변조 두 가지 방법 존재 1. 삽입 이미지에 데이터를 삽입하는 방법 파링의 끝인 푸터 시그니처 뒤 데이터는 무시되므로 그 곳에 데이터를 숨길 수 있음 푸터 말고 헤더에도 이미지에 영향을 주지 않는 부분이 존재하는데, 그곳에 데이터를 삽입해 숨길 수도 있음 2. 변조 LSB(Least Significat Bit) 스테가노그래피가 해당 최하위 비트인 LSB 변조하는 방법 - 주로 24 비트 이미지파일에 적용(jpg,bmp등) 24비트 (빨8 파8 초8)가 하나의 색을 표현하기 떄문에 실제 이미지에 영향을 준다고 해도 사람의 눈으로 알아챌 수 없다. 이미지에 색이 다양하개 사용되지 않고, 경계가 뚜렷하다면 hex값을 보고 값이 섞여있는 것을 알아낼 수.. 2021. 2. 3.
디지털 포렌식 디지털 포렌식 : 디지털 과학 수사 모든 디지털 기기에서 나온 정보 수집 보존 분석 후 보고서 작성까지 하여 법정에 증거로 제출하는 일련의 과정 (파일, 데이터 복구뿐만이 해당되는 것이 아님) 디지털 기기에서도 모든 기록이 남는다. ex) 와이파이 기록, usb 연결 기록 디지털포렌식 수사 순서 1. 사전준비 영장준비, 수집할 정보 우선순위 정하기 등 (임의 수사면 영장 필요 없음) 2. 증거수집 현장통제/보존 휘발성 데이터 우선 확보 (현재 실행 중인 프로세스 리스트 등) 물리/가상 메모리 확보 이미지 획득 시스템 기본정보/네트워크 정보/ 실행중인 프로세스 정보 수집 비휘발성 정보 수집 디지털 기기 자체 수집 사본 이미지 생성 후 수집 증거물 수집 후 밀봉하여 이동 3. 분석 원본 훼손 방지위해 획득한.. 2021. 2. 2.
침해사고포렌식 침해사고? 정보통신시스템에 대한 위협의 발생 보통 대규모/분산화 되어 발생하며 범죄적 성향을 띄고 있어 주의가 필요함 사례) 사용자의 계정 도용 악성코드 유입 및 실행 정보 서비스 방해 +) 물리적 사고는 침해사고에 포함되지 않음(자연재해, 정전, 절도, 물리적 파괴 등과 같은 것들) 법적인 정의 [정보통신망이용촉진 및 정보보호 등에 관한 법률 제 2조 1항 7조] 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의해 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인해 발생한 사태 실무에서의 정의 해킹, 컴퓨터바이러스 유포에 한정하지 않고, 모든 전자적인 공격 행위 침해사고에 활용되는 공격유형 구분 예시 악성코드 공격 바이러스, 트로이목마, 웜, 백도어 등 .. 2021. 2. 1.
728x90

티스토리툴바