정보보안41 [NONamed] 우리 이제 그만하자 처음에 ftk imager로 열었는데 손상이 되었다고 나왔다. 어떻게 해야할 지 몰랐다. 풀이도 안나오고... 그러다가 아래와 같은 게시글을 확인했다. https://weekhack.tistory.com/51 NTFS - 손상된 NTFS VBR(Volume Boot Record) 복구 안녕하세요. Luke입니다. 2022.01. 추가 해당 글은 계획적으로 작성된 글이 아닌 NTFS VBR을 복구하는 문제를 푼 뒤 인상 깊어서 이를 기록에 남기고 싶었기에 작성했던 포스팅입니다. VBR이 무엇인지 weekhack.tistory.com 이 글에서의 이미지 파일은 hxd로 열면 MBR 영역부터 나와있는데 이 문제에서 주어진 파일은 VBR부터 나와있는 것 같다. 어디가 손상되었는지 바로 파악하지 못했다. 그런데 .. 2022. 7. 13. [NONamed] 우리들의 추억들 삭제된 파일.. 복구해 줄 수 있어? 라길래 ftk imager로 열고 $Recycle.Bin을 열었다. 별 거 없다. 하지만 THUMBNAIL을 의심해본다. 먼저 크롬을 살펴봐야겠다고 생각했기에 Users\swing\AppData\Local\Google\Chrome\User Data\Default\Cache에 있는 파일들을 확인했다. 그러나 유의미한 결과를 발견하지 못했다. 다음으로 Microsoft의 IE를 살펴봤다. Thumbnail Database Viewer로 열어본 결과 플래그같은 문자열을 발견했다. 답: SWING{LONGTIMENOSEE} 2022. 7. 11. [NONamed] 유출된 자료 거래 사건 2 USB로 옮겼을 것으로 의심되는 파일... 파일을 입수한 경로... 파일 이름을 변경했다고 해서 NTFS니까 $LogFile을 NTFS Log Tracker를 이용해 분석하고자 했다. [$LogFile] NTFS 트랜잭션 로그 파일 작업 중 갑작스러운 파일 손실 시 복구를 위해 사용한다. 모든 트랜잭션 작업을 레코드 단위로 기록한다. 파일이나 디렉터리의 생성, 삭제, 데이터 작성, 파일명 변경과 같은 트랜잭션 작업 내용은 $LogFile의 작업 레코드에 저장된다. $LogFile을 분석하기 위해서 NTFS Log Tracker를 사용한다. $LogFile, $UsnJrnl:$J, $MFT 파일을 추출해서 NTFS Log Tracker에 넣어 결과값 파일(.db)를 생성해낸다. 하지만 뚜렷하게 의미있는 부.. 2022. 7. 11. [NONamed] 유출된 거래 자료 사건 1 FTK imager로 vmdk 파일 열기 분석하고 있는 것 : 구매자의 PC 알아내야 하는 것 : 구매자의 PC에 사용된 USB는 무엇인가 REGA를 사용해 레지스트리를 분석하기 위해 ftk imager에서 다음과 같이 파일을 추출한다. C:\Windows\System32\config\SAM >>>> 출처: https://tkdlzhdl.tistory.com/27 [살아서 숨쉬자:티스토리] REGA HLKM\SYSTEM\ControlSet001\Enum\USB -> 모든 USB 관련 목록(마우스, 키보드, 데이터 저장 장치 등) 이 부분에서는 알아낼 수 있는 것이 명확하지 않았다. 나는 USB 제조사와 volume label을 알아내야 했기에 이 부분에 집중했다. HKLM\SYSTEM\ControlSet.. 2022. 7. 11. CERT BFF 개념 및 설치 CERT basic fuzzing framework 리눅스, Mac OS X, 윈도우에서 실행된다. 프로그램이 파일 형태로 input을 로드할 때 mutation fuzzing을 수행한다. mutation testing : 의도적으로 컴포넌트나 시스템의 소스 코드를 변형시키고 이에 맞게 디자인된 테스트 데이터를 실행시켜 프로그램 코드 내에 존재할 수 있는 모호한 부분을 찾아내는 테스트 기법 또는 테스트 과정 mutator : '올바른 형식'의 입력 데이터를 기반으로 하여 여러가지 방법으로 데이터를 이리저리 바꿔치며 손상시키는 역할 이렇게 얻은 input을 프로그램에 넣어보면 crash가 발생할 수도 있다. fuzzing의 확률론적인 특성때문에 결과값은 퍼징 시스템의 초기 configuration에 크게 .. 2022. 2. 14. snort 설치 방법 오픈소스 NIDS/NIPS 네트워크 침투를 탐지하고 방지하는데 사용된다. snort는 특정 네트워크 인터페이스를 통해 보내고 받는 package data를 모니터한다. NIDS는 signature-based detection과 protocol analysis technologies를 이용해 우리 시스템의 취약점을 타겟팅하는 위협을 확인할 수 있다. NIDS software가 제대로 설치되었다면 다양한 종류의 공격과 의심행위들을 확인할 수 있다. ex) CGI attacks/ network policy viloations/ SMB probes/ malware infections/ a compromised system/ stealth port scan 설치방법 https://upcloud.com/commun.. 2022. 2. 8. 이전 1 2 3 4 ··· 7 다음
