본문 바로가기

전체 글

 (638)
[디지털포렌식전문가 2급 필기] 3-2-1. 네트워크 이해 ARP (Address Resolution Protocol) - 목적지 IP 주소를 목적지 MAC 주소로 변환해 주는 프로토콜 - ARP 캐쉬는 가장 최근에 매핑된 IP와 하드웨어 주소를 관리 - ARP 스푸핑 공격의 원인이 됨 - 네트워크 주소(IP)는 알고 있지만 링크 레이어(이더넷) 주소를 모를 때 사용 - ARP Spoofing 공격에 대하여 취약점 존재 - 주소 매핑을 위해 브로드캐스팅 패킷을 이용하기도 함 - 논리적인 IP 주소를 물리적인 MAC 주소로 변경하는 역할 - ARP 패킷은 네트워크 계층을 통하여 다른 네트워크로 넘어갈 수 없음 - ARP 스푸핑 공격이란 잘못된 맥주소로 패킷을 보내는 것을 의미 NIC (Network Interface Card) - promiscuous 모드로 변경..
[디지털포렌식전문가 2급 필기] 3-1-3. 기타 응용 프로그램 MKV - 최근에 개발된 코덱으로 비디오와 자막을 함께 저장할 수 있는 것 스테가노그래피 (Steganography) - 디지털 포렌식 프로그램으로서 전달하려는 기밀 정보를 그래픽, 사진, 영화 소리 파일 등에 암호화하여 숨기는 심층 암호 기술 - 데이터 은닉 기법 중 하나로 전달하려는 기밀 정보를 JPEG, MP3 등의 멀티미디어 파일이나 HWP, DOC 등의 문서 파일에 인간의 인지 능력으로는 원본과 구별 불가능 하도록 숨기는 방법 스테가노그래피에서 사용하는 툴이 아닌 것 - StegDetect 디가우저 - 디지털 포렌식을 우회하기 위한 안티-포렌식 기법 중 하나 - 물리적 하드디스크에 강한 자석 성분을 접근시켜 자화시키는 방법 안티-포렌식 응용 프로그램 - 비트락커 : Microsoft 사의 Win..
[디지털포렌식전문가 2급 필기] 3-1-2. 전자우편 전자우편 - Outlook 같은 전자우편 프로그램을 사용할 경우 이메일 데이터를 삭제하더라도 데이터의 복구가 가능 - 포렌식 관점에서는 사건 정황을 이해하고 범행 증거 자료 수집을 위한 중요한 자료로 활용 - Microsoft Outlook에서 개인 폴더 파일인 '.pst' 파일은 사용자 컴퓨터 시스템에 이메일을 저장하는 데이터 이메일 헤더 - 송신자가 수신자에게 이메일을 보낼 때 거치는 경로 정보를 저장 - 이메일 서버가 할당한 고유 번호인 메시지 ID를 담음 전자우편 헤더에서 확인할 수 없는 사항 - 메일이 경유한 라우터 목록 이메일 클라이언트 - 대부분의 이메일 클라이언트가 지원하는 중요한 프로토콜은 MIME - MIME는 이메일 클라이언트를 통하여 이진 첨부파일을 보낼 때 사용 - MAPI는 Mi..
[디지털포렌식전문가 2급 필기] 3-1-1. 웹 브라우저 쿠키 - 쿠키의 분석을 통하여 특정 사이트에 접속한 사용자의 아이디 또는 패스워드에 관한 정보 얻을 수 있음 - 개인 ID와 비밀번호, 방문한 사이트 등의 정보가 담겨 있음 - 사용자의 다음 방문시 웹 서버는 그가 누구인지 등에 대하여 바로 파악 가능 리퍼러 로그 파일 (Referrer Log File) - 사용자가 사이트를 방문하기 위하여 어떠한 검색엔진으로부터 어떤 키워드를 사용하였는지를 알 수 있으며, 사용자가 경유한 URL 경로를 알 수 있음 Windows 7 사용자가 IP 주소를 얻어오는 순서 - 캐쉬 > Hosts 파일 > 로컬 DNS 서버 FireFox3 places.sqlite 파일은 웹 히스토리를 저장 cookies.sqlite 파일은 쿠키를 저장 places.sqlite의 moz_his..
[디지털포렌식] 2-2-7. Linux 기반 시스템 logrotate - 로그 파일을 기록할 수 있는 볼륨이 크지 않아 자주 Disk Full 상황이 발생할 때 선택할 수 있는 도구 mod_security - Apache 웹 서버의 보안을 강화하기 위한 웹 보안 프로그램 리눅스 시스템에서 사용할 수 있는 보안 도구 - 와이어샤크 : 네트워크 패킷 수집 및 분석, 패킷 스니핑과 프로토콜 분석 도구 - TCPWrapper : IP 접근 제어 - nmap : 네트워크 포트 스캔, 오픈 소스로 사용하기 용이, 가벼운 포트 스캐너 및 네트워크 분석 도구의 역할을 할 수 있는 프로그램 - netcat : 포트 스캔, 파일 전송, 커맨드 라인에서의 원격 네트워크 서비스의 상호작용 등 광범위한 용도를 위해 사용될 수 있음 - shadow password : /etc/p..

티스토리툴바