본문 바로가기

분류 전체보기153

디지털 포렌식 2 [2024.10.18] [침해사고 포렌식]> 리눅스 침해사고 01. 시스템의 날짜, 시간 확인 및 변경 > 날짜 확인# date2024. 10. 18. (금) 21:10:07 KST > 월, 일, 시간, 분 변경# date 10102110 2024. 10. 10. (목) 21:10:00 KST > 월, 일, 시간, 분, 년도 변경# date 1010211023 2023. 10. 10. (화) 21:10:00 KST > .30으로 초 단위까지 변경# date 1010211023.30 2023. 10. 10. (화) 21:10:30 KST     02. 에포크 날짜(1970-01-01 UTC)로부터 현재 일시까지 초 단위로 변환 # date --date='@2147483647'   *에포크 날짜(1970-0.. 2024. 10. 18.
디지털 포렌식 1 [2024.10.15 ~ 2024.10.18]    디지털이란 숫자, 문자 등의 신호로 표현하는 일이다  정보 보안의 궁극적인 목표는 데이터를 수집하는 것이다데이터란 기호화, 숫자화한 자료를 뜻한다또한, 데이터를 모아 놓은 것을 정보라고 한다  어떤 목적에 맞게 정리(처리)된 자료를 정보라고 한다  디지털 데이터는 변조의 가능성, 복제 용이성으로 인해법정에서는 직접적으로 채택이 불가능하다포렌식은 증거 수집부터 이동, 절차가 완벽해야 증거로 인정된다  정당성의 원칙에서 당사자들이 통화 녹음하는 건 괜찮지만,제3자가 통화 녹음을 하는 것은 불법이 된다그렇기 때문에 제3자의 녹취록은 법적 효력이 상실된다 무결성의 원칙이란 포렌식을 함으로써 데이터를 보존해 주는 것이다5대 원칙 중 중요한 원칙이라고 할 수 있다.. 2024. 10. 18.
악성코드 분석 21 [2024.10.14] [정적 분석]> 분석 파일: Lab07-01.exe  Lab03-01.exe의 경우 패킹 파일이며  Lab07-01.exe는 03-01.exe 파일의 언패킹 파일이다  01. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  두 개의 파일 비교 시패킹 파일과 언패킹 파일은 보기에도 확연하게 차이가 나는 것을 볼 수 있다패킹 파일의 경우 헤더가 두 개고, 언패킹 파일의 경우에는 세 개다또한, PE 구조 확인 시에도 보여지는 것부터 차이가 난다    pestudio로 확인했을 때도 virustotal로 분석되는 갯수부터 다른 것을 확인했다   02. 문자열 분석 > 분석 도구: strings, ollydbg> 분석 결과  문자열 확인 시에도 03-01 파일과.. 2024. 10. 15.
악성코드 분석 20 [2024.10.11] [정적 분석]> 분석 파일: Lab06-04.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 49/71(AlYac 탐지, V3 탐지 못 함)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  PEView를 통해 함수를 확인할 수 있었고,패킹되어 있지 않기 때문에 헤더가 두 개 이상인 것을 확인했다  pestudio에서도 라이브러리와 임포트 값을 확인했고  스트링의 경우 Lab06-03.exe 파일과 다를 점은 없어 보이는 것까지 확인했다   04. 문자열 분석 > 분석 도구: strings, ollydbg.. 2024. 10. 15.
악성코드 분석 19 [2024.10.14] [정적 분석]> 분석 파일: Lab06-03.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 45/73(V3: 탐지, AlYac: 미탐지)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  서비스 관련한 함수가 나왔다나머지는 Lab06-02.exe 파일과 비슷하다  스트링을 확인했을 때 3번대의 새로운 에러를 발견할 수 있었다또한, 아래로 보이는 바와 같이 Temp 디렉터리도 연관되어 있는 것을 알 수 있다  03. 문자열 분석 > 분석 도구: strings, ollydbg> 분석 결과  pestudio에.. 2024. 10. 14.
악성코드 분석 18 [2024.10.10] [정적 분석]> 분석 파일: Lab06-02.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 38/73(V3, AlYac 탐지 못 함)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  인터넷 시그니처들이 새롭게 많이 나온 걸 볼 수 있다InternetOpenUrlA는 url을 연다는 뜻이고, ReadFile의 경우 그 url을 읽는다는 뜻이다GetConnectedState는 url 접속을 위한 네트워크 연결을 확인하는 것으로 추측된다CloseHandle의 경우 이 함수를 실행해야만 아래의 함수들이 실행된.. 2024. 10. 10.

티스토리툴바