본문 바로가기

디지털 포렌식18

디지털 포렌식 12 [2024.11.01] [다섯 가지의 공격 기법 이해]  해당 화면의 경우 Land Attack이다공격 대상자의 IP로 Source IP와 Destination의 IP를동일하게 해서 공격하는 것이다IP 스푸핑도 기본적으로 들어간다현재 공격 대상자의 IP가 192.168.10.100이라고 했을 공격자(A)와 공격 대상자(V)가 있다면,A에도 Source IP와 Destination IP를 V의 IP로 공격한다  위 화면은 Ping of Death로 볼 수 있다패킷을 정상 크기보다 크게 보내는 것이다eth2에서는 1518bytes가 지정되어 있고,MTU에는 1500bytes가 지정되어 있다최대치로 fragmentation 되어 있다는 뜻이며,정상적인 크기보다 아주 크게 보내 패킷을 분할할 때 어렵고조립할 때.. 2024. 11. 4.
디지털 포렌식 11 [2024.10.31] [네트워크 포렌식] 1) TCP/UDP2) 3-Way Handshake3) HTTP Header(HTTP Request, Response), HTTP Method(GET, POST, PUT, DELETE)4) FTP, Telnet, HTTP(평문)5) 네트워크 기반 공격> Dos/DDoS, Sniffing, Spoofing, Scanning 등  01. Port Scan > SYN Scan  대부분의 패킷이 TCP 프로토콜을 사용하며,[SYN] 플래그가 설정된 패킷이 다수 포함되어 있다SYN 스캔은 대상 포트에 대해 SYN 패킷을 전송하여열려 있는 포트를 식별하려는 스캔 방식이다일반적으로 SYN 패킷에 대한 응답으로 [RST, ACK] 또는 [ACK] 패킷이 반환되는 것을 볼 수 .. 2024. 10. 31.
디지털 포렌식 10 [2024.10.30] [메모리 포렌식] 01. cmd 사용 기록 c:\ vola.exe -f 2.mem --profile=Win7SP1x64 cmdscan   02. cmd 사용 기록 목록 출력 c:\ vola.exe -f 4.raw --profile=Win7SP1x64 iehistory  인터넷 익스플로러를 실행 후 4.raw 덤프하고 파일을 생성한다  4.raw를 palist로 확인하게 되면 바로 iexplore.exe를 확인할 수 있다  이전의 4.raw는 히스토리가 나오지 않아 다시 6.raw로 생성했다6.raw 역시 pslist로  iexplore.exe로 덤핑된 걸 볼 수 있다  6.raw 파일로 iehistory를 이용하여 사용 기록 목록을 출력했으며,현재 창을 열어 둔 인터넷 익스플로러의.. 2024. 10. 30.
디지털 포렌식 9 [2024.10.29] [메모리 포렌식] > 메모리 덤프 도구: FTK Imager, Dumpit c:\DumpIt.exe /O 01. Volatility 활용 덤프 파일 분석 c:\ vola -f [덤프 파일] [플러그인] 1) 운영 체제: imageinfoc:\ vola -f 1.vmem imageinfo 2) 프로세스 목록 출력 c:\ vola -f 1.mem psscan --profile=Win7SP1x64  이번 시간의 실습을 진행하기 위해 웹 페이지와 알집을 켜 놓고 시작한다  그런 다음 FTK Imager로 메모리 덤핑 2.mem 프로세스 파일을 생성한다  바로 2.mem 파일을 pslist로 확인하게 되면 앞서 실행했던 것들이 덤프되어 있다 덤프 파일 생성에 사용한 FTK Imager와 웹.. 2024. 10. 29.
디지털 포렌식 8 [2024.10.28] [메모리 포렌식] 01. 메모리 포렌식> 주 기억 장치에 존재하는 휘발성 데이터 수집 02. 얻을 수 있는 정보 > 프로세스 정보> 네트워크 실행 정보> 윈도우 레지스트리 정보> 하드웨어 정보> 악성 코드 정보 03. 장점과 단점 1) 장점 - 암호화된 정보 수집- 악성 코드 등의 영향을 받지 않음 2) 단점 - 휘발성 데이터 04. 메모리 포렌식 도구 1) procexp*2) procmon3) Ollydbg4) IDA Pro5) Volatility6) dumpit7) FTK Imager8) Encase9) Autosy 05. 확장자 1) vmem: VMWare에서 덤핑2) raw: 메모리 이미지 자체 덤핑 06. Volatility 활용 덤프 파일 분석 c:\ vola.exe -.. 2024. 10. 28.
디지털 포렌식 7 [2024.10.25] [Windows 침해사고] 01. WFA(Windows File Analyzer)> 최근 실행된 프로세스 정보 확인  02. LastActivityView> 최근 설치 및 생성된 파일 및 폴더 확인  실행하게 되면 현재 오늘까지 설치 및 생성된 파일과 폴더를 확인할 수 있다  XP로도 확인하고 Windows 7으로 넘어와서 크롬을 다운로드했다   확인 시 자세히는 나오지 않지만 다운로드했다는 기록은 확인된다   03. 파일 시스템 무결성 점검 c:\ sfc /scannow  시스템의 디스크까지 모두 점검하기 때문에시간이 오래 걸려 중간에 중단했지만이런 식으로 진행되는 것만 알고 있으면 된다  04. 숨겨진 파일 정보 검색 > dir /ah 또는 dir /ashr  이런 식으로 숨겨.. 2024. 10. 25.