본문 바로가기

분류 전체보기153

디지털 포렌식 14 [2024.11.05] [디지털 증거 찾기] 01. 시스템 사용자 이름 > YRG  REGA 프로그램을 설치 후파일 > 레지스트리 파일 수집 > 현재 시스템 레지스트리 수집을 통해현재 나의 PC 레시스트리 정보 수집을 실시한다  파일 수집이 완료되면 완료되었다는 창이 나타난다  파일 > 레지스트리 분석을 누르고시간을 서울로 설정하게 되면 위 화면과 같이 나타난다차례대로 정보를 기입하고 레지스트리 정보를 저장한폴더를 지정하고 분석 시작을 누른다  분석 중에 이런 식으로 진행 결과가 나타난다  처음으로 알아낸 것은 오른쪽의 도구 상자에서사용자의 계정 정보를 선택하면 내 PC의 사용자 이름을 확인할 수 있다  02. 컴퓨터 이름은? > YRG_PC  이번에는 컴퓨터 이름을 찾기 위해키워드 검색에서 찾을 대상을.. 2024. 11. 6.
디지털 포렌식 13 [2024.11.04] 01. 사용자 기본 폴더 > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders  사용자에 대한 기본 폴더가 해당 경로에 나타나게 된다  02. 마지막 로그인한 사용자 정보 > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  마지막 사용자인 YRG를 확인할 수 있다  03. 시스템 종료 시간 > HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\Windows  이런 식으로 시스템 종료 시간이 헥사 값으로 나온다헥사 값을 계산하면 시스템 종료 시간을 알 수 있으며,Co.. 2024. 11. 6.
디지털 포렌식 12 [2024.11.01] [다섯 가지의 공격 기법 이해]  해당 화면의 경우 Land Attack이다공격 대상자의 IP로 Source IP와 Destination의 IP를동일하게 해서 공격하는 것이다IP 스푸핑도 기본적으로 들어간다현재 공격 대상자의 IP가 192.168.10.100이라고 했을 공격자(A)와 공격 대상자(V)가 있다면,A에도 Source IP와 Destination IP를 V의 IP로 공격한다  위 화면은 Ping of Death로 볼 수 있다패킷을 정상 크기보다 크게 보내는 것이다eth2에서는 1518bytes가 지정되어 있고,MTU에는 1500bytes가 지정되어 있다최대치로 fragmentation 되어 있다는 뜻이며,정상적인 크기보다 아주 크게 보내 패킷을 분할할 때 어렵고조립할 때.. 2024. 11. 4.
도커 & 쿠버네티스 5 [2024.11.02]  7) 'cluster.yml' 파일을 이용한 앤서블 플레이 ansible-playbook \-i inventory/mycluster/hosts.yaml \--become --become-user=root \cluster.yml 앤서블 플레이북을 이용하여 쿠버네티스트를 설치한다설치 시간은 평균 20~30분 정도 소요된다 8) 설치 정보 확인  만약, kubectl version 명령어 진행 시 kubuctl 명령어가 없다고출력되면 다시 설치(5번 과정) 해야 한다  또한, kubectl 명령어는 실행되는데,다음과 같이 master, node1, node2, node3의 상태가Ready가 아니라 NotReady로 출력되면 다시 설치(5번 과정) 해야 한다 9) 정보 확인 실시  10.. 2024. 11. 2.
디지털 포렌식 11 [2024.10.31] [네트워크 포렌식] 1) TCP/UDP2) 3-Way Handshake3) HTTP Header(HTTP Request, Response), HTTP Method(GET, POST, PUT, DELETE)4) FTP, Telnet, HTTP(평문)5) 네트워크 기반 공격> Dos/DDoS, Sniffing, Spoofing, Scanning 등  01. Port Scan > SYN Scan  대부분의 패킷이 TCP 프로토콜을 사용하며,[SYN] 플래그가 설정된 패킷이 다수 포함되어 있다SYN 스캔은 대상 포트에 대해 SYN 패킷을 전송하여열려 있는 포트를 식별하려는 스캔 방식이다일반적으로 SYN 패킷에 대한 응답으로 [RST, ACK] 또는 [ACK] 패킷이 반환되는 것을 볼 수 .. 2024. 10. 31.
디지털 포렌식 10 [2024.10.30] [메모리 포렌식] 01. cmd 사용 기록 c:\ vola.exe -f 2.mem --profile=Win7SP1x64 cmdscan   02. cmd 사용 기록 목록 출력 c:\ vola.exe -f 4.raw --profile=Win7SP1x64 iehistory  인터넷 익스플로러를 실행 후 4.raw 덤프하고 파일을 생성한다  4.raw를 palist로 확인하게 되면 바로 iexplore.exe를 확인할 수 있다  이전의 4.raw는 히스토리가 나오지 않아 다시 6.raw로 생성했다6.raw 역시 pslist로  iexplore.exe로 덤핑된 걸 볼 수 있다  6.raw 파일로 iehistory를 이용하여 사용 기록 목록을 출력했으며,현재 창을 열어 둔 인터넷 익스플로러의.. 2024. 10. 30.