침해사고는 사이버 공격 행위에 따라 나타난 여러 종류의 피해로, 컴퓨터 바이러스나 서비스 거부(DoS) 공격 등으로 피해를 입은 경우를 통칭한다. 악성 프로세스가 있는지 확인악성코드로 의심되는 수상한 파일이 시스템 내에 존재하는지 탐지시스템에서 자동으로 실행되는 악성코드 확인네트워크 분석으로 외부와의 통신 분석 더보기실습 환경 구성을 위해 게스트PC에서 Keylogger(사용자가 키보드에 입력하는 내역 기록하는 프로그램) 스크립트를 생성한다.netstat -a 으로 IP와 사용하지않는 포트번호를 확인할 수 있다. # /usr/bin/python3# keylogger.pyimport keyboardimport socketimport threadingimport osfrom time import sleepI..

시스템 로그Linux의 /var 디렉토리에는 시스템에서 사용하는 가변 데이터 파일들이 저장된다. 시스템 로그 또한 이곳에 존재한다. 이에 대한 설정값은 /etc/rsyslog.conf 파일에 존재한다.파일의 소유자, 그룹, 권한을 설정하고 로그를 임시로 저장하기 위한 공간(spool)로 /var/spool/rsyslog, 추가적인 설정은 /etc/rsyslog.d/*.conf를 통해 이루어진다.#이 붙어있는 것들은 비활성화 상태인 것들이다. 실습을 위해 #을 삭제해 모두 활성화 시켜준 뒤, sudo systemctl restart syslog로 로그 시스템을 재시작, 로그 기록을 위해 시스템 재부팅 후 /var/log에 활성화한 로그가 생성되는지 확인한다./var/log에 저장되는 모든 로그가 이 파일로..

시스템 접속우선 시스템에 접속을 해야한다. 경우에 따라 시스템에 접속되어있는 PC를 받을 수도 있지만, 그렇지 않은 경우 시스템에 원격으로 접속해야한다. 일반적으로 사용되는 방법은 ssh이다. SSH(Secure Shell)은 원격 호스트에 접속하기 위해 사용되는 인터넷 프로토콜 혹은 프로그램이다. ssh 실습을 위해서 가상머신의 네트워크 설정이 필요하다. 여기서는 Bridged Adapter모드로 진행한다. 더보기가상머신에는 호스트와 게스트가 존재하며 호스트는 원래의 PC, 게스트는 가상머신을 통해 설치된 PC이다. Bridged Adapter 모드는 호스트와 게스트가 같은 네트워크에 연결되는 모드이다. 게스트가 호스트의 네트워크 어댑터와 직접 연결된 것 처럼 통신한다. 별도의 네트워크 설정 없이 ..

활성 시스템과 포렌식Linux 포렌식에서는 활성 시스템에서 증거를 수집하고 분석하는 경우가 많다. 활설 시스템이란, 전원이 켜져있는 시스템을 뜻한다. Linux 운영체제는 개인PC보다는 서버용 PC로 많이 사용된다. 서버들은 사용자의 요청을 기다리며 24시간 내내 켜져있는 경우가 많다. (종료될 경우 사이트 등 접속이 불가하다) 활성 시스템 포렌식에서는 증거를 수집할 때 목적에 맞는 파일인지 확인하기 위해 파일/폴더를 열어보기도 하고, 시스템에서 프로그램을 실행시켜 정보를 수집하거나 데이터를 가져오기도한다. 하지만 이 과정에서 시스템이 변경될 수 있다는 우려가 있기에 선호되는 방법이 아니다. 그러나 활성 시스템 포렌식이 필요한 이유는 활성 시스템 포렌식을 통해서만 수집할 수 있는 데이터가 있다. - ..

Lab4해커가 정보를 훔쳐간데다 중요한 파일 하나를 삭제했다고한다. 메모리 파일 말고는 증거가 없다. 먼저 info와 프로세스 목록을 출력해본다. 별로 눈에 띄는 수상한 프로세스는 보이지 않는다. 그나마 StikyNot ?StikyNot의 dlllist와 handles도 확인해본다. 딱히 눈에 띄는건 안보인다. StickyNote 아티팩트는 %LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState 경로에 plum.sqlite 데이터베이스를 가진다. filescan으로 전체 파일을 스캔하고 검색해보자.결과가 없는 것 같다.중요 파일이라 했으므로 혹시나해서 important를 검색해봤다.오 결과가 있다. 추출에 실패했다. ..

Lab2피해자는 "환경" 운동가이다. 그는 응용프로그램에서 브라우저들과 PW관리자 등을 알려주었다. 메모리 덤프를 분석하고 중요한 자료를 찾아 돌려주는 것이 미션이다. "environmental"이 강조되어있다. 마침 "환경"변수라는 우리가 확인할 수 있는 것이 있다. 그렇다면,환경 변수를 확인하고브라우저 애플리케이션을 확인하고PW관리자 프로그램을 통해 중요 정보를 찾기순서로 진행하면 될 듯 하다. info의 결과는 다음과 같다. 프로세스 목록을 출력해보자또 유니코드 오류가 났다. 인코딩 설정해주고 나머지 psscan과 pstree를 출력한다.수상하게 KeePass라는 이름의 프로그램이 있다. PW를 얻을 수 있을 것 같은 이름이다. Chrome은 여러개의 탭/창을 띄울 수 있기에 여러개의 프로세스가 ..

이 메모리 덤프를 만들 때 무엇을 하고있었는지 찾아달라고 한다. 프로세스 목록을 얻는다. (덤프 결과가 대상 파일인 Challenge.raw파일이므로 덤프할 당시에 실행되던 프로세스 목록을 얻을 수 있다.)DumpIt.exe의 PPID가 324이고, 324는 explorer.exe이다. explorer.exe에서 메모리 덤프도구 dumpIt.exe을 사용했을 것이라 추측할 수 있다. VBoxTray는 VirtualBox관련 프로그램이다. 호출관계나 파일경로는 정상인 것처럼 보인다. 하지만 cmd에서 DumpIt.exe를 실행했다면 DumpIt의 PPID는 cmd의 PID였어야 할 것이다. 하지만 explorer의 PID였다.cmd.exe는 DumpIt.exe를 실행하며 무언가를 실행한 듯 하다. cmd...

도구 : Volatility3덤프 파일을 대상으로 한다. 분석 환경 세팅https://github.com/stuxnet999/MemLabs 에서 Lab0을 우선 다운해준다. 문제 풀어보기 Volatility는 pycryptodome 등 python 라이브러리를 필요로 한다. exe파일로 설치했다면 별도의 세팅이 필요없다! 플러그인도 지원을 한다. exe로 설치한다면 편할 수도 있지만 외부 플러그인을 추가할 경우 소스코드 버전으로 설치해야한다. volatility3가 있는 곳에서 python -m ensurepippython -m pip install --upgrade pippython -m pip install pycryptodomepython C:\Tools\volatility3\vol.py로 실행했..

Windows에서는 파일을 삭제하면 휴지통으로 이동한다.파일 우클릭 후 삭제 버튼, Delete키로 삭제, 파일을 휴지통으로 드래그. 세 방법 모두 휴지통으로 이동된다. ($LogFile에서 이동함을 확인할 수 있다)Shift + Delete로 파일을 삭제하는 방법도 있다. 이 방법은 휴지통으로 데이터가 이동하지 않고 사용자 입장에서 복원이 불가능하다. 이 경우 $MFT의 해당 파일 엔트리에 삭제 표시가 추가된다. 그래도 데이터가 완전히 사라지는 것은 아니다. 관리자cmd에서 cd C:$Recycle.Bin으로 이동한다. 휴지통 경로이다. dir /a 로 현재 경로에 있는 모든 파일을 확인할 수 있다. S-1-5로 시작하는 문자열은 사용자 계쩡을 나타내는 SID값이다. 결과의 아무 디렉토리에 들어가서 ..

프리채피와 캐시는 응용프로그램을 실행했을 때 생성되는 아티팩트이다. 프리패치 Prefetch Windows 운영체제에서 응용프로그램을 시작할 때 성능을 향상하기 위한 파일이다. %SystemRoot%\Prefetch 경로에 존재한다. 응용프로그램의 실행 정보를 프리패치 파일로 미리 저장해두고, 메모리에서 프리패치 파일을 미리 로드한다. 응용프로그램을 실행할 때 디스크가 아닌 메모리에서 정보를 빠르게 읽을 수 있도록 하여 실행 속도를 높인다.종류로는 부트 프리패치(Windows7이전 PC만 존재)와 응용프로그램 프리패치가 있다. 프리패치 분석을 통해서는 실행 파일 이름, 경로, 실행 파일 실행 횟수, 최초 실행 시간, 마지막 실행 시간, 실행된 볼륨 정보를 얻을 수 있다. 프리패치 파일은 [Filena..

범죄 행위를 계획하거나, 자료를 유출하고 악성코드를 다운로드 하는 등 악의적 목적으로 브라우저가 사용되기도한다.웹브라우저 상의 사용자 행위를 분석하기 위해서는 웹 브라우저 아티팩트를 분석해야한다. 웹 브라우저 별로 동작 방식이 약간 다르기에 아티팩트의 위치와 구조도 다르다. 웹 브라우저는 클라이언트가 웹을 쉽게 이용하도록 도와주는 응용프로그램이며, HTML코드를 처리해 사용자에게 보여주고, 사용자의 요청을 서버에 전송해준다. Chrome, 삼성인터넷, Microsoft Edge, Safari, Brave등이 여기에 해당한다. Chromium 프로젝트라는 것이 있다. 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트인데, Brave, Chrome등이 이 프로젝트를 기반으로 만들어졌다. 기반이 Chromi..

이벤트 로그사용자 로그인, 시스템 시작/종료, 프로세스 실행 등 Windows 동작 과정에서 발생하는 다양한 이벤트를 기록한 파일이다.*계정 생성, 높은 권한 부여, 커맨드를 이용한 프로그램을 실행하는 등 악성코드의 동작을 알아내기에 유용하다.PowerShell Fileless 악성코드 또한 이벤트 로그에 기록을 남긴다. Windows에서 제공하는 이벤트 로그 분석도구로 이벤트 뷰어가 있다.주요 항목응용 프로그램(Application) : 응용프로그램(시스템 구성요소 제외) 에서 발생한 이벤트 기록. 작업 성공 여부, 동작 중 오류 여부 등 기록보안(Security) : 파일 열기/만들기 등 시스템 리소스 사용 이벤트, 로그인 성공/실패, 시스템 보안 정책 변경 등의 보안이벤트 (기록할 이벤트 유형 변..

$LogFile과 $UsnJrnl은 파일의 생성, 변경, 삭제 이력을 추적할 수 있다. $LogFile파일시스템의 저널링(Journaling)기능을 위해 존재하는 파일이다. *저널링 : 데이터 변경을 디스크에 반영하기 전에 행위를 기록해, 문제가 발생했을 때 복구할 수 있도록 하는 기능(작업 이전으로 시스템 복원) 저널링의 단위는 트랜잭션(Transaction)인데, 쪼갤 수 없는 업무 처리의 최소단위이다. 파일/디렉토리 생성·수정·삭제가 여기에 해당한다. $LogFile은 이러한 트랜젝션을 기록한다. 수집 및 분석 경로 : [root]\$LogFile ($MFT도 분석에 함께 사용)도구 : NTFS Log Tracker, DB Browser for SQLiteDB Browser SQLite로 DB 조회..

Eric Zimmerman 도구들 통합 이용 가능한 수집/분석 도구 폴더 구성 Targets : 수집 대상 지정 폴더. tkape라는 확장자 파일로 지정 가능 Modules : 분석 방법 지정 폴더. mkape라는 확장자 파일로 분석도구·커맨드 지정 kepe.exe : KAPE CLI도구 gkape.exe : KAPE GUI도구 Get-KAPEUpdate.ps1 : KAPE 최신버전 업데이트 (Power shell) 수집 자동화디스크 이미지를 마운트 해야 KAPE를 이용한 분석이 가능하다. 호환성때문에 Arsenal Image Mounter를 사용한다.두번째 이미지 처럼 세팅해두고 execute를 선택하면 자동으로 수집된다.버전 문제인지 모니터 크기의 문제인진 모르겠는데 표시해둔 저 위..

Autopsy 세팅Timezone 설정 매우 중요 ★분석 기능(Ingest Module) 선택 - Plaso분석 제외하고는 모두 선택해주는 것이 좋음 (Plaso는 오래걸림...)좌측 메뉴 구성 Data Sources : 디스크 이미지 파일 시스템 내부 구조 확 파일 시스템 확인 및 데이터 추출 $MFT분석 → 생성, 수정, 접근 시간 표시 나열된 파일 우클릭 → 추출 File View : 전체 파일을 파일타입/삭제여부/크기 따라 조회 확장자와 MIME Type(파일 구조) 따라 파일 조회 삭제된 파일 모아서 확인 크기 별로 모아서 확인 Data Artifacts : Windows 아티팩트 분석 결과 조회 수집한 아티팩트 ..

레지스트리?Windows 운영체제에서 사용자, 시스템, 프로그램 실행과 관련된 설정들을 저장할 수 있는 계층형 데이터베이스시스템 정보 (시스템 시간, 버전), 사용자 계정, 환경 변수 등... 많은 정보가 들어있다.*계층형 데이터 베이스 : 데이터가 트리형태의 구조로 조직되어 반복적인 부모-자식 관계를 가지는 것💡 디지털 포렌식에서 레지스트리는 반드시 수집해야할 아티팩트. 분석 대상 시스템의 기본정보, 시간정보는 기본으로 수집, 사용자의 응용프로그램 실행 흔적, USB연결 흔적도 파악할 수 있다. 레지스트리 편집기 Regedit주황색 박스를 레지스트리 경로, 빨간색 박스 레지스트리 값이라고 부른다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 의 경로에는 설..

아티팩트 Artifacts디지털 포렌식에서 디지털 증거는 크게 보관증거와 생성증거로 나눌 수 있다.보관증거 : 디지털 증거 중, 사람이 직접 작성한 데이터. ex) 문서, 메모 ...생성증거 : 사용자의 직접적 개입 없이, 자동으로 생성된 증거.ex) 컴퓨터 부팅 → 이벤트로그, 프로그램 실행 → 프리패치... 운영체제, 파일시스템 또는 애플리케이션이 생성한 데이터아티팩트는 운영체제나 애플리케이션을 사용하면서 생성된 흔적을 의미한다. 생성증거에 속하며 일정한 구조를 띄는 데이터이다. 아티팩트의 종류분류, 아티팩트 - 주요 획득 가능 데이터 순이다. 아티팩트로부터 추출할 수 있는 것은 조각난 정보일 뿐이므로, 해석은 분석가가 해야한다.시스템 파일 레지스트리 - 시스템 전반에 대한 설정 데이터&MFT, &L..

NTFS의 구조MFT(Master File Table) 이라는 별도의 구조 -> 모든 파일의 메타데이터 저장볼륨의 맨 끝에 Backup VBR두어 복구 가능하도록VBRJump Command : 부트코드로 점프BPB(Bios Parameter Block) : 볼륨의 전반적인 설정 포함부트코드 : 볼륨 부트 코드시그니처 : 0x55 0xAA MFT메타데이터를 저장하는 곳이다.MFT 시작 영역 주소 계산MFT 주소 = Start Cluster for MFT * 클러스터크기(0x1000) 0xC0000 * 0x1000 = 0xC0000000MFT 엔트리 MFT영역은 0x200 크기의 MFT엔트리가 계속해서 반복된다.0~15번 MFT엔트리는 시스템 메타데이터를 저장하기 위해 미리 예약, 16~23번은 빈엔트리, ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

공부하면서 사용했던/알게된 디지털 포렌식 도구들이다. 워게임, CTF의 경우 한 번씩 도구를 알아야만 풀 수 있는 문제들이 있는 것 같아 정리하는 겸 나와 같은 필드를 향하는 사람들에게 도움이 되고자 정리해둔다. 유료 도구는 *로 표시해두었다. 최종수정 2026.03.05 디스크 이미징디지털 이미지 파일을 분석하는데 사용한다. E01, dd, raw 등의 이미지 파일FTK Imager통합 포렌식 도구 AutopsyEncase*Magnet AXIOM*X-Ways Forensics*KAPE : Eric Zimmerman 도구들 통합 이용 가능한 수집/분석 도구 Hex 에디터 바이너리 파일이나 디스크의 내용을 Hex형식으로 열고 수정할 수 있는 도구이다. 파일 시그니처 분석, 은닉 데이터 탐지, 정상 파..

보호되어 있는 글입니다.

디지털 증거와 법률수집한 정보를 '증거'로써 법정에서 효력을 발휘하기 위해서는 적절한 증거수집과정을 걸치고, 법적 요건을 갖추어야한다. 다음은 디지털 증거와 관련한 우리나라의 두 가지 법적 기준이다. 위법수집증거배제법칙형사소송법 제308조의 2 (위법수집증거의 배제) 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.- 불법적으로 수집된 증거는 원칙적으로 법정에서 사용할 수 없다. - 압수수색이 영장 없이 이루어진 경우, 개인정보 보호법 등을 위반하여 수집된 경우 위법 수집으로 간주될 수 있다. 이러한 방법으로 수집한 증거는 증거능력이 인정되지 않아 재판에서 사용될 수 없다.전문증거와 전문법칙형사소송법 제313조 (진술서 등) ② (중략) 진술서의 작성자가 공판준비나 공판기일에서 그 성립..

보호되어 있는 글입니다.