분류 전체보기153 디지털 포렌식 9 [2024.10.29] [메모리 포렌식] > 메모리 덤프 도구: FTK Imager, Dumpit c:\DumpIt.exe /O 01. Volatility 활용 덤프 파일 분석 c:\ vola -f [덤프 파일] [플러그인] 1) 운영 체제: imageinfoc:\ vola -f 1.vmem imageinfo 2) 프로세스 목록 출력 c:\ vola -f 1.mem psscan --profile=Win7SP1x64 이번 시간의 실습을 진행하기 위해 웹 페이지와 알집을 켜 놓고 시작한다 그런 다음 FTK Imager로 메모리 덤핑 2.mem 프로세스 파일을 생성한다 바로 2.mem 파일을 pslist로 확인하게 되면 앞서 실행했던 것들이 덤프되어 있다 덤프 파일 생성에 사용한 FTK Imager와 웹.. 2024. 10. 29. 도커 & 쿠버네티스 4 [2024.10.27] 4) WORKDIR Ex1) 절대 경로/상대 경로를 사용한 WORKDIR 명령어 예제 - RUN 명령어에 의해서 출력되는 내용은 어떻게 되는가? Ex2) WORKDIR 명령어로 환경변수를 사용한 예제 - RUN 명령어에 의해서 출력되는 내용은 어떻게 되는가? 5) USER Ex) USER 명령 사용 실습 먼저 Dockerfile을 제작한다 # docker image build --no-cache --progress plain -t user-img . 그런 다음 위의 명령어를 입력하여 이미지를 빌드한다 마지막으로는 이미지가 생성되었는지 확인한다 6) COPY/ADD ① COPY 호스트의 파일/경로 컨테이너의 파일 경로COPY test.sh /root/bin/② ADD 호.. 2024. 10. 28. 디지털 포렌식 8 [2024.10.28] [메모리 포렌식] 01. 메모리 포렌식> 주 기억 장치에 존재하는 휘발성 데이터 수집 02. 얻을 수 있는 정보 > 프로세스 정보> 네트워크 실행 정보> 윈도우 레지스트리 정보> 하드웨어 정보> 악성 코드 정보 03. 장점과 단점 1) 장점 - 암호화된 정보 수집- 악성 코드 등의 영향을 받지 않음 2) 단점 - 휘발성 데이터 04. 메모리 포렌식 도구 1) procexp*2) procmon3) Ollydbg4) IDA Pro5) Volatility6) dumpit7) FTK Imager8) Encase9) Autosy 05. 확장자 1) vmem: VMWare에서 덤핑2) raw: 메모리 이미지 자체 덤핑 06. Volatility 활용 덤프 파일 분석 c:\ vola.exe -.. 2024. 10. 28. 도커 & 쿠버네티스 3 [2024.10.26] 09. Docker 네트워크 관리 1. Docker 네트워크 관리 # docker network ls# docker container run --rm busybox ip address# ip address show docker0 컨테이너가 구동될 때 네트워크 스택을 생성하고 기본적으로 bridge 네트워크에 연결한다 2) host 네트워크 # docker container run --rm --network=host busybox ip address# ip address host 네트워크는 호스트의 네트워크 장치를컨테이너가 그대로 사용하는 유형이다실제 호스트에서 ip address를 실시하여 위의 내용과 동일한지 확인한다 3) none 네트워크 # docker container .. 2024. 10. 28. 디지털 포렌식 7 [2024.10.25] [Windows 침해사고] 01. WFA(Windows File Analyzer)> 최근 실행된 프로세스 정보 확인 02. LastActivityView> 최근 설치 및 생성된 파일 및 폴더 확인 실행하게 되면 현재 오늘까지 설치 및 생성된 파일과 폴더를 확인할 수 있다 XP로도 확인하고 Windows 7으로 넘어와서 크롬을 다운로드했다 확인 시 자세히는 나오지 않지만 다운로드했다는 기록은 확인된다 03. 파일 시스템 무결성 점검 c:\ sfc /scannow 시스템의 디스크까지 모두 점검하기 때문에시간이 오래 걸려 중간에 중단했지만이런 식으로 진행되는 것만 알고 있으면 된다 04. 숨겨진 파일 정보 검색 > dir /ah 또는 dir /ashr 이런 식으로 숨겨.. 2024. 10. 25. 디지털 포렌식 6 [2024.10.24] 01. 로그 파일 실시간 모니터링 # tail -f secure 250번 서버의 Kali Linux로 로그인 시 50번 서버인 Rocky Linux로 sshd 기록이 뜨는 걸 확인할 수 있다 이번에는 패스워드를 틀리게 적어서 로그인이 안 되게끔 시도했다 그렇게 될 시 rocky linux 쪽에서는 failed password가 나타나게 된다 [Windows 침해사고 포렌식] 01. 날짜/시간 정보 설정/확인 c:\ datec:\ date /t 02. 시간 정보 설정/확인 c:\ time c:\ time /t 03. 날짜/시간 정보 동시 출력 c:\ date /t & time /t 04. 날짜와 시간 정보 동시 출력 c:\ date 2024-10-24 &.. 2024. 10. 24. 이전 1 2 3 4 5 6 ··· 26 다음