분류 전체보기 31

[인프런]기초부터 따라하는 디지털 포렌식

Grrcon에 대해서 imageinfo, pslist, psscan, pstree, psxview log를 생성한다. pslist : 시간 순으로 배열된다. 처음에는 pid, ppid를 기준으로 알려주는 pstree가 접근하기 좋다. pstree에 가서 수상해 보이는 것들에 표시를 한다. 그리고 이후에 pslist에서 시간순서대로 봐서 어떻게 해킹이 되었는지 유추할 수 있다. 이 문제에서는 침입자가 메일을 통해 악성코드를 실행하고 마지막에 원격데스크톱을 실행한 것으로 보인다.    네트워크 분석 - netscan, connections, sockets 파일 분석 및 덤프fiescan - 메모리 내에 존재하는 모든 파일ㄷ르의 리스트 출력dumpfiles - 파일을 덤프. 옵션으로 메모리 주소, 프로세스 줄..

카테고리 없음 2024.11.12

[The Science Times]200억년 걸려야 해킹 가능하다?

미국 전기차 기업 테슬라가 지난 10월 완전 자율주행 로보택시를 공개했다. ‘사이버캡’이라는 이름의 2인승 자율주행 차량은 운전대와 페달이 아예 없다. 테슬라는 사이버캡을 양산하기 전에 자율주행(FSD·Full Self-Driving) 소프트웨어의 운전자 개입이 필요 없는 업그레이드 버전을 모델3, 모델Y를 통해 배포한다는 계획이다. 현재 테슬라의 FSD는 주행 중 운전자의 감독이 필요한 형태다.완전 자율주행자동차 개발에 발 맞추어 해킹 등과 같은 보안 위협에도 대비가 필요한 상태이다. 현재 많은 회사에서 자율주행차 해킹 공격으로 인한 대비를 철저히 하고 있는 상태이다. 현재까지는 자율주행차 해킹 공격으로 인한 인명 피해가 공식적으로 알려진 것은 없다. 하지만 위협은 여전히 존재하기 때문에 철저한 대비를..

swuforce 2024.11.12

[디지털 포렌식 개론] 7장 디지털 증거 분석 기술

디지털 증거 분석 기술디지털 증거 분석 기술은 수집 기술과 달리 디지털 데이터의 종류와 저장 형태, 입증할 목적 등으로 인하여 굉장하 다양하기 때문에 포괄적으로 말하기는 어렵다1. 파일 복구범죄자는 대부분 증거를 인멸하려 하기 때문에 디지털 포렌식 분석을 위해서는 삭제된 파일의 복구가 선행되어야 한다. 파일을 저장하고 관리하는 방식을 파일 시스템이라 부르고, 조사를 위해서는 파일 시스템에 대한 선행 지식이 있어야 한다. 대부분의 운영체제는 사용자에게 빠른 응답을 하기 위해 파일을 삭제하면, 삭제하였다는 표시만 하고 실제로 해당 파일은 그대로 남겨둔다. 즉, 파일 A가 삭제된다면, 파일 A의 데이터가 그대로 유지된 채 미할당 영역이라 표시한다. 따라서 삭제된 파일은 파일 시스템의 미할당 영역에 잔존하게 된..

swuforce 2024.11.12

[디지털 포렌식 개론] 8장 1~3절

도서관과 같이 생성된 데이터를 계속해서 관리하기 위해서는 데이터 기록물을 적당한 위치에 보관하면서 쉽게 접근할 수 있도록 분류하고 체계화 하는 과정이 필수적이다.디지털 데이터도 전통적인 기록물 보관 방식과 유사하게 저장 매체 상의 적당한 위치에 보관하면서 쉽게 접근하여 열람, 수정, 삭제할 수 있는 방식이 필요로 하기 때문에 디지털 데이터를 하나의 객체(파일)로 취급하면서 사용자가 쉽게 사용할 수 있도록 관리하는 방식을 파일 시스템이라 말한다. 1. 파일 시스템 이해1. 파일 시스템 소개파일 시스템은 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식이다. 하드 디스크, 플래쉬 메모리 등의 저장 매체 용량이 증가함에 따라 저장되는 파일의 수가 많아진다. 이러한 상황에서 원하는 파일을..

swuforce 2024.11.06

[인프런]기초부터 따라하는 디지털 포렌식 개론 섹션 3 -1,2,3강

Window Termimal 사용법pwd - 현재 디렉토리의 경로를 조회할 수 있는 명령어 ls - 현재 디렉토리의 내용을 보여주는 명령어 dir - 디렉토리cd - 디렉토리 이동할 수 있는 명령어..\ - 상위 디렉토리 rm - 파일 삭제 > - 결과를 파일로 저장 (리다이렉션)clear - 터미널에 입력한 명령어와 내용이 없어짐mkdir - 폴더 생성 Volatility- 메모리 포렌식 도구 - Volatility에서 메모리에 남아있는 증거를 획득할 수 있는 이유 : 메모리는 프로세스가 사용하는 공간으로 규칙적인 구조체가 메모리 안에 존재하는 경우 Volatility가 잘라내어 가져와서 보여줄 수 있다. Volatility 명령어 imageinfopslist  - 시간 순 나열 [ 악성 프로세스의 선..

swuforce 2024.11.05

[써니타스]14번 문제풀이

14번 문제를 열어보면 password을 알아내는 문제임을 알 수 있다. 다운로드를 하면 이 파일들을 HxD로 열어보겠다. password를 찾는 문제이므로 비밀번호로 추정되는 부분을 찾아야 한다.유닉스 계열에서 저장되는 비밀번호는 $기호를 사용한다. 또한, 유닉스의 그림자 파일(shadow file)에서는  SHA-512 해시된 $6$...와 같은 형식을 사용하므로 그 부분을 찾았다.  존더리퍼를 통해 복호화를 하면 password를 찾을 수 있다.

swuforce 2024.11.04

[EST SECURITY] 가짜 캡처 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의!

최근 사용자가 봇인지 아닌지를 판단하기 위한 절차인 캡처 인증 페이지를 조작하여 악성코드 실행을 유도하는 공격이 발견되고 있다. 이 공격은 사용자를 조작된 캡처 인증 페이지로 유도하는 것으로 시작한다. 사용자가 불법적으로 공유된 버전의 프로그램을 다운로드 하기 위해 검색한 링크를 통해 해당 캡처 인증 페이지로 리디렉션 되거나 피싱 메일에 링크를 삽입하여 접속을 유도한다. 접속된 페이지에서 사용자가 인증을 위해 "I'm not a robot" 버튼을 클릭하면 일반적인 인증 성공 여부 메시지가 아닌 'Verification Steps'라는 안내 메시지가 팝업된다. 이와 동시에 페이지 내부에 삽입된 Base64로 인코딩 된 악성 파워쉘 명령어가 클립보드로 복사된다. 팝업 된 메시지는 사용자에게 클립보드에 복사..

swuforce 2024.11.04

[SuNiNaTaS] 1번 문제풀이

str이라는 문자열이 주어진다.a를 aad로 대체하고 그걸 result 에 저장한다.i를 in으로 대체하고 그걸 result에 저장한다. 변화된 문자열의 2, 3 번재 글자를 result1에 저장한다.변화된 문자열의 4, 5, 6, 7, 8, 9번째 문자를 result 2에 저장한다. result1과 result2를 합쳐서 result에 저장한다. 만약 이 result가 admin 이면 pw는 ????????로 설정한다. str가 admin 이라 가정하면 3번 까지 진행했을 때 aaddminn이다. result 1 = ad, result 2 = mdin이다. 따라서 result가 admdin인데 이는 admin이 아니므로 pw는 성립되지 않는다.  거꾸로 생각해서 str을 찾으려 하면 ami를 입력하면 ..

swuforce 2024.10.09