Information Security

메모리 분석을 위한 대표적인 프레임워크 도구 메모리 파일(덤프 파일)에서 휘발성 정보를 획득하기 위해 포렌식 분석에서 활용 윈도우 환경, 유닉스(리눅스) 환경, MAC OS 환경 등 크로스 실행 가능 32비트/64비트 윈도우즈XP, 윈도우즈 2003, 윈도우즈 비스타(Vista), 윈도우즈 7 계열 등 모든 메모리 분석 지원이 되며, 리눅스, 안드로이드, MAC OS 환경 프로파일도 포함 단일 명령 콘솔 모드(Single-command line)과 인터랙티브 명령 콘솔(Interactive volshell) 지원 왜 볼라틸리티 인가? 하나의 응집된 프레임워크 GPLv2 오픈 소스 파이썬으로 작성 윈도우, 리눅스, 맥 분석 시스템에서 실행 확장 및 스크립트가 가능한 애플리케이션 프로그래밍 인터페이스 탁월한..

10GB 새로운 파티션을 생성했다. 새로운 파티션에 boan.txt를 복사했다. 010 Editor 프로그램을 이용해 새로운 파티션을 열었다. 3F 섹터의 시작 주소다. Ctrl + g를 눌러 sector 옵션으로 변경 후 3F로 이동하면 NTFS를 보여준다. 00 02를 보면 정수 값 512byte라는 것을 알 수 있다. 08을 보면 하나의 클러스트 당 8개의 섹터가 필요하다. 0xC00000 주소를 보아 클러스트의 시작 주소라는 것을 알 수 있다. (63 sector + 0xC00000 * 8 = 6291519 sector) 10진수 6291519로 입력 후 이동하면 FILEO가 보이고 내리다 보면 MFT가 보인다. FILE0 위치에서+54로 이동 하면 System Volume을 확인할 수 있다. 조..

File System 파일 시스템은 보조 기억 장치에 데이터의 저장과 검색 방법을 제어하는 데 사용 체계적인 저장 방식과 검색 방식을 사용하여 데이터 저장, 검색 등을 최적화 NTFS (New Technology File System) 마이크로 소프트에 의해 개발 1993년 Windows NT 3.1과 함께 발표 Bitmap, MFT(Master File Table) MFT (Master File Table) 파일에 대한 meta data를 저장하는 곳 meta data: 데이터 관리상 필요한 작성자 목적 저장 장소 등 속성에 관한 데이터 MFT Entry 구조 MFT를 구성하는 각 요소 Entry Header와 Attribute로 구성 하나의 Entry에 하나의 파일 또는 디렉터리 정보를 가짐 Attr..

시스템 프로세스(시스템 지원 프로세스) 운영체제를 사용하는 사용자를 위함 유저 모드에서 동작하는 중요한 프로세스 시스템 프로세스의 특징 윈도우 시작 프로세스 사용자가 시스템을 사용하는 데 필요한 핵심 부분을 담당 커널과 연결되는 서브 시스템을 구동하거나 관리 주요 프로세스 smss.exe, csrss.exe, winlogon.exe, lass.exe, servcies.exe depends 프로그램을 이용해 EXPLORER.exe 프로그램은 GUI 환경이라는 것을 알 수 있다. depends 프로그램을 이용해 CMD.exe 프로그램은 Console 환경이라는 것을 알 수 있다. PEview 프로그램을 이용해 notepad.exe 프로그램을 보면 IMAGE_OPTIONAL_HEADER에서 Subsystem을..

윈도우 부팅 순서 MBR 마스터 부트 레코드는 운영체계가 어디에, 어떻게 위치해 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로서 하드디스크의 첫 번째 섹터에 저장되어 있다.

EPROCESS? 개별 프로세스를 나타내는 거대한 구조체KPROCESS(Kernel Process Block)의 포인터 포함 (프로세스 정보, 생성되는 스레드 정보를 가짐)프로세스 식별 정보프로세스에서 사용하는 메모리 정보PEB 위치 정보를 확인할 수 있으며 커널 모드에 위치 _EPROCESS의 구조체를 확인할 수 있다. KDBG를 통해 _EPROCESS를 찾을 수 있다. KDBG(_KDDEBUGGER_DATA64) 구조체? 크래시나 디버깅 시에 필요한 커널의 정보들을 담은 구조체이 구조체는 아래와 같은 구조의 헤더로 시작패턴 매칭List 변수의 마지막 8바이트가 항상 0으로 채워짐OwnerTage는 KDBG로 세팅Size는 XP일 경우 0x290, Windows 2000의 경우 0x208 BytesVA..

구조체 역할 EPROCESS (Executive Process) 개별 프로세스를 나타내는 거대한 구조체 - KPROCESS를 포함 KPROCESS (Kernel Process Block, PCB) 커널에서 스레드 스케줄링과 프로세스에 포함되는 스레드들의 기본설정 값, 시스템에서 동작하는 스레드 관리에 필요한 정보 등을 확인 ETHREAD (Executive Thread) 개별 스레드에 대한 정보를 가짐 -KTHREAD 포함 -스레드 시간 정보 -프로세스/스레드 ID -스레드 시작 주소 KTHREAD (Kernel Thread Block, TCB) 디스패칭 정보, 실행시간, 커널 스택 정보 등을 가짐 PEB(Process Environment Block), TEB(Thread Environment Bloc..

콜백(Callback) 다른 코드의 인수로서 넘겨주는 실행 가능한 코드 콜백을 넘겨 받는 코드는 특정 코드를 실행 콜백 함수 호출될 함수를 알려 주어 다른 프로그램/모듈에서 함수를 호출하게 하는 방법. 일반적으로 운영 체계(OS)가 호출할 애플리케이션의 함수를 지정해 특정한 사건 또는 메시지가 발생했을 때 호출되도록 지정할 수 있다. log_to_file 함수를 통해 process_monitor_log.csv 파일로 저장 하고 WMI를 통해 c 객체 생성한다. 객체 중에서 콜백을 등록할 수 있는 creation 등록을 해서 process_watcher라는 함수를 생성하고 new_process 전달한다. new_process가 주체가 되서 자신의 정보를 가져와서 세팅하고 new_porcess가 생성될 때마..