kkamagi.story

* 해당 포스팅은 플레인비트의 이준형 강사님의 강의를 듣고 작성한 스터디용 포스팅입니다. Kali linux에서 Volatility download 및 python2 세팅 https://netsidetech.ca/2021/02/07/how-to-install-volatility-in-kali/ * 분석도구 - Volatility * 분석 전 준비 사항 1. Volatility Tool 설치 1) python 2.7.13 버전 32비트로 설치 및 환경변수 (PATH) 설정 (Windows 7, 10 동일) [그림 1-1 윈도우 환경 변수 설정] 파이썬 설치 후 (python 2.7.13) Pycrypto, PIL, Distorm3 설치 2) Pycrypto 설치 ( 32비..

소프트웨어 덤프 종류 1. FAU DDhttp://www.gmgsystemsinc.com/fau/ -> 윈도우 XP SP2 이후 버전에서는 사용자 모드에서 \\.\Physicalmemory 오브젝트에 접근할 수 없으며, 오직 커널버전에서만 가능-> 윈도우 XP SP1 이전버전에서만 사용 가능-> 사실 이 도구는 메모리 덤프를 만들 때보다는 저장장치의 포렌식 이미지를 만들 때 유용 2. DCFLDD -> 윈도우 XP SP2 이후 버전에서는 사용자 모드에서 \\.\Physicalmemory 오브젝트에 접근할 수 없으며, 오직 커널버전에서만 가능-> FAU DD와 동일 3. KntDD- 군대, 정부기관, 보안전문가나 관련 회사에 선별적으로 제공되므로 일반유저들은 사용 불가(유료)- 윈도우 XP SP2 이후의 ..

윈도우 포렌식 실전가이드 책을 보다가 1장의 라이브 리스폰스 스크립트를 만들기로 하였다. 만드는 중에 sysinternals tool을 사용해야되는게 있어 찾아보니, 스크립트 실행 시 usb에 있는 도구들을 시스템 폴더에 복사 후 환경 변수 설정하는 내용을 추가하면 되지 않을까 하고 해보기로 하였으나, 그냥 툴을 C:\windows\system32 폴더에 복사하는 명령을 추가하니 해결되었다. ===========================================================================================================@echo offcolor 9fsetlocalset /p type1=날짜 :set /p type2=점검대상 : set /p t..

악성코드 분석을 위한 Cuckoo sandbox 2.0 설치 – for Windows 7 * 본 포스팅은 인터넷 블로그 및 공개된 단행본을 참고 하였습니다. I. Cuckoo Sandbox란? 1) 개요 : 쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용한 악성코드 분석 플랫폼이다. 각 기업의 네트워크 환경에서 현업 PC에 악성코드가 실행 탐지/감염되었을 경우 보안솔루션에 의해 샘플을 얻거나, 네트워크 패킷 분석을 통해 얻은 악성실행 파일에 대하여 가상머신에서 실행하고 그 행위를 분석하여 결과를 자동으로 수집한 정보를 얻을 수 있다. 쿠쿠 샌드박스는 기본적으로 GNU/Linux(Debian 계열 또는 우분투)에 설치하는 것을 가정하고 있다. 때문에 윈도우 운영체제를 사용하여 분석할 경우 가상..

cuckoo update error 2016-10-21 16:33:55,077 [root] CRITICAL: CuckooStartupError: The binaries used for Windows analysis are updated regularly, independently from the release line. It appears that you're not up-to-date. This can happen when you've just installed Cuckoo or when you've updated your Cuckoo version by pulling the latest changes from our Git repository. In order to get up-to-date, ple..

안녕하세요. The Grit 입니다. 드라마 유령에서도 소개되었던 스테가노그래피 기술에 대하여 간단히 설명하도록 하겠습니다. 스테가노그래피란? * 전달하려는 기밀 정보를 이미지 파일이나 MP3 파일 등에 암호화하여 숨기는 심층 암호 기술입니다. 예를 들어 이미지 파일이나 MP3파일 등에 숨기고 싶은 이미지나 텍스트 파일, 데이터 정보를 암호화하여 전달할 수 있습니다. 스테가노그래피는 고대 그리스에서부터 이용되어온 기술로서 현대 암호학에서 다루는 암호화(Encryption)하고는 다른 개념입니다. 스테가노그래피의 유래는 기원전 5세기로 그리스의 왕 히스티에우스는 다이루스 왕의 인질로 잡혀있었는데, 그는 밀레투스에 있는 그의 양아들에게 밀서를 전달하는 방법으로 노예의 머리를 깍고서 그 머리에 메세지를 문신으..

FTK imager 다운로드 및 설치 -> 실행 2020.08.17 기준 최신 버전 4.3.0 1. 공식홈페이지에서 다운로드 및 설치 실행화면 2. 디스크 이미징 - 사본이미지 생성은 원본 저장매체의 물리적 데이터를 파일로 만드는 작업 - 파일, 디렉터리, 디스크의 비할당영역, 슬랙공간을 포함하여 저장 - 사본이미지 생성 전 쓰기방지 설정 필수 - 디지털포렌식전문가 2급 시험 : 시험장에서 분석을 위해 분석용 USB가 주어지며, 해당 USB를 원본저장매체로 간주하고 이미징 작업을 진행 (연결하기 전 레지스트리를 통한 쓰기방지 설정 필수) : 기존에 시험볼 때에는 encase의 fastblocSE 기능을 이용했었으나, 15회 시험 부터는 Encase 지원이 안된다고 한다) 쓰기방지설정 참고 : kkamag..

1. 메모리의 이해 * 기본 지식 - 프로세스는 CPU를 점유하면서 작업을 수행한다. - 연산에 필요한 데이터는 메모리로부터 CPU 내부에 있는 레지스터로 가져온다. (만일 CPU 사용을 위해 프로세스에 할당된 시간이 종료되면 프로세스는 컨텍스트 스위칭 과정을 거쳐 다른 프로세스에 CPU 자원을 양보한다.) - 프로세스는 메모리에 데이터를 올려 놓고 작업을 한다. 메모리에는 주소, 변수 , 객체, 반환 값 등 다양한 데이터가 저장된다. - 프로세스 실행 관점에서 메모리 관리는 가상 메모리 관리 기능과 프로세스 메모리 할당 기능으로 나눌 수 있다. - 가상 메모리 : 프로그램을 실행하려면 모든 데이터를 메모리로 가져와야하는데 물리 메모리의 크기가 한정되어 있기 때문에 보조기억장치(HDD)의 공간을 사용한다..

tcpdump tcpdump를 이용하여 패킷 캡쳐를 하기에 앞서 telnet 서비스를 하는 과정을 캡쳐하기 위해 telnet 서비스를 설치. # yum install -y telnet 또는 # yum install -y telnet-server --> xinetd가 같이 설치 된다. # cd /etc/xinetd.d # vi telnet 또는 enable = yes 로 설정 후 # mv /etc/securetty /etc/securetty.bak 이 파일을 .bak 파일로. # service xinetd start --> 텔넷 서비스를 시작 해 놓고 이제 다른 창에서 tcpdump로 패킷을 캡쳐 # mkdir /tcpdump # cd /tcpdump 위의 사진은 패킷 캡쳐가 완료된 사진이다. ctrl+c..