본문 바로가기

전체 글

 (638)
[디스크 포렌식] 루트 디렉토리 추적 FAT32 파일 시스템을 가진 실습 파일을 HxD로 열고, 첫 번째 파티션의 시작 위치로 이동해 보겠습니다. 첫 번째 파티션의 시작 섹터입니다. 이 정보를 통하여 루트 디렉토리의 위치를 알아내 보겠습니다. 루트 디렉토리의 위치를 알아내기 위해서 FAT Area의 주소를 알아야 합니다. 위의 BR 영역의 Reserved Sector 영역을 보면 10 1A로 되어 있습니다. 즉 BR 주소 (128) + Reserved Sector (4122)를 더해주면 FAT Area (4250번째) 섹터가 나옵니다. 루트 디렉토리로 가기 위해서는 FAT 주소에 FAT 크기*2를 한 값을 더해주면 됩니다. (FAT의 개수가 기본적으로 2개) FAT 크기는 BR 영역을 보면 07 F3으로 적혀 있습니다. 4250 (FAT A..
[디스크 포렌식] FAT32 파일 시스템 FAT32 파일 시스템 먼저 FAT32 파일 시스템의 파티션 구조를 알아보겠습니다. FAT32 파티션 구조는 위와 같이 이루어져 있습니다. 1. Boot Sector (BR) Boot Sector는 MBR 구조와 같이 특정 오프셋 별로 의미하는 바가 다릅니다. 0byte ~ 2byte : Boot Code 3byte ~ 89byte : BIOS Parameter Block 90byte ~ 509byte : Boot Code와 Error Message 510byte ~ 511byte : 시그니쳐 2byte 위는 FAT32 파일 시스템의 BR 영역 구조입니다. 의미 내용 Jump Boot Code Boot Strap Code로 점프하기 위한 부분 OEM Name OEM 회사를 나타내는 문자열 (FAT32는 ..
[네트워크 포렌식] 이벤트 예약 웹사이트를 운영하고… 문제에서 압축 파일 하나를 줍니다. 압축을 풀어보겠습니다. 압축을 풀면 위와 같은 디렉토리와 디렉토리에 해당하는 로그 파일들이 존재합니다. Visual Studio Code 프로그램으로 로그 파일들을 열어보겠습니다. accounts 디렉토리의 history 파일입니다. /var/www/upload/editor/image 경로에 777권한을 준 것이 눈에 띕니다. 777권한을 부여한 경로로 검색해보니, ps_eaf 파일에서 프로세스가 검색되었습니다. php -f 명령어로 reverse.php 파일을 실행했습니다. pid는 5245입니다. network 디렉토리의 lsof 로그에서 pid인 5245로 검색해 보았습니다. 1884 라인에 TCP 프로토콜으로 특정 ip와 연결되었다는 점을 발견할 수 있습니다. ..
[디스크 포렌식] 3.20 악성코드 감염 MBR 복구 3.20 악성코드란? MBR 영역과 VBR을 모두 특정 문자열로 덮어씌워서 부팅이 불가능하도록 만드는 악성코드 3.20 악성코드에 감염된 가상머신 파일을 HxD로 열면 섹터 0에 VMDK 파일의 예약 영역이 위치합니다. VMDK 파일의 예약 영역을 제외한 가상머신의 0번째 섹터의 MBR 구조를 보고 싶다면 FTK Imager로 VMDK 파일을 열어주면 됩니다. FTK Imager로 확인해보니 MBR 영역이 모두 HASTATI라는 문자열로 덮여있습니다. 검색 기능으로 검색을 해보니 HASTATI로 뒤덮인 영역이 2개 더 있었습니다. 처음 HASTATI 영역은 MBR 영역, 2번째와 3번째 HASTATI 영역은 파티션 정보를 담고 있는 영역이라고 추측해 볼 수 있습니다. 그럼 파티션을 복구해 보겠습니다. 먼..
[디스크 포렌식] 다중 파티션의 이해 다중 파티션 파티션 테이블에는 총 4개의 파티션 정보가 할당되는데, 파티션이 5개 이상인 경우에는 다중 파티션을 사용합니다. forensic-proof.com 사이트에서 참고한 다중 파티션의 구조입니다. 마지막 4번째 파티션을 확장파티션으로 할당하고, 확장 파티션에서 다시 확장 파티션을 할당한다는 개념입니다. 다중 파티션이 할당된 이미지 파일을 FTK Imager로 열어보았습니다. 총 5개의 파티션이 할당되어 있습니다. HxD로 이미지 파일을 열어 파티션 테이블 값을 분석해 보겠습니다. 파티션 테이블을 확인해보면 4번째 파티션의 정보가 있는 부분에 0x05로 확장 파티션을 나타내는 플래그가 있습니다. 확장 파티션을 나타내는 4번째 파티션의 시작 주소가 00 04 B0 80(리틀 엔디안)을 10진수로 변환..

티스토리툴바