전체 글
MFT Parsing 도구 - analyzeMFT
Windows OS는 NTFS 파일 시스템을 사용한다. NTFS 파일 시스템은 MFT(Master File Table)에 파일의 메타 데이터를 저장한다. 파일 메타 데이터에는 파일의 생성, 수정, 접근 시각 등의 포렌식 관점으로 중요한 정보들이 들어있다. $MFT는 이런 MFT 엔트리들의 집합이다. 그렇다면 $MFT 파일이 어딨고 어떤 정보가 들어있는지 확인해보자. MFT는 시스템 드라이브(일반적으로 C 드라이브) 바로 아래에 존재한다. $가 붙은 파일들은 시스템 관련 파일로써 일반적인 방법으로는 볼 수도 없다. 해당 파일을 찾았으니 이제 내용을 볼까? microsoft-windows...어쩌구 저쩌구하는 문자열이 보이지만 나머지 값들이 무얼 뜻하는지 알아보기 힘들다. 하나하나 메타데이터 길이별로..
Windows Registry 침해 대응 분석
범위 - 레지스트리 , 웹 브라우저 , $MFT , 휴지통 , 프리패치, 웹 로그 , 쉘백 - 점프리스트 , 링크파일 ,메모리 파일 ,스케쥴러 - 이벤트로그 , 썸네일, 아이콘 캐시 , 서비스 레지스트리 - 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위한 계층형 데이터베이스 - 부팅 과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위와 관련된 모든 것들을 기록하여 관리함 - 이때, 레지스트리 정보는 하이브 파일로 관리한다. 레지스트리 - 시스템 정보와 사용자 다양한 정보를 확인할 수 있다. - 최근 열람한 문서 파일 목록, 실행 파일 목록, 시스템 정보 등을 확인할 수 있다. - 레지스트리 확인 명령어 : Ctrl+R -> ‘regedit’ 명령 실행 레지스트리 구성(Root Key..
🌏Window Froensic Tool List
Vloatility SysinternalSuite AnalyazeMFT 디지털포렌식 분석의 대상은 주로 여러 데이터를 모은 선별 데이터 묶음이나 저장장치 이미지다. 사건 유형과 분석 목적에 따라 특정 파일만 분석하는 경우도 있지만 이때도 해당 파일이나 레코드를 복구까지 해야 하기 때문에 파일시스템이나 파일 포맷의 구조, 복구 원리 등을 이해하고 있어야 한다. 분석 결과의 오류 가능성을 줄이려면 분석에 활용되는 다양한 아티팩트의 이해가 선행되야 하고 거기에 더해 풍부한 경험을 갖춰야 한다. 좋은 분석가라면 운영체제 버전이나 사용 환경에 따라 변하는 아티팩트의 차이점과 한계점을 인식하고 있어야 한다. 처음 분석 분야에 들어왔다면 널리 알려진 EnCase, FTK, AXIOM 등의 통합 포렌식 도구로 문제를 ..
Windows 침해 대응 및 분석 기법 ( 금융보안원 교육 )
과거의 공격양상 (약.. 10년전..?) exe 또는 dll 확장자 파일을 통해 함수 호출 변수를 통한 C&C에서로의 공격을 감행함 하지만 안티바이러스에서 다 검출되기에 현재는 이런 재래식 형태로 공격을 감행하지 않음. 그래서 LotL(Living of the Land) 공격기법 --> 기존의 있는 시료들을 통해 공격을 감행하는 기법 wscrpite.exe, certutil.exe 등 기존의 Windows Built in 설치 파일을 통한 공격 감행 형태로 양상 변형 최근 공격 형태의 양상 1.악성 문서 파일 생성 2.공격자는 Victim PC 에 악성문서 전달 3. maleware.hwp 문서파일 통해 한글 오피스 프로그램 실행됨 maleware.hwp 실행 시, 유관된 dll 파일을 메모리에 적재함 ..
[CVE-2022-30190] MS Offfice 제로데이 취약점 분석 & MSDT-Follina 취약점 분석
본문은 해외의 저명한 유튜버 'Network Chuck' 의 Pollina 취약점을
PowerShell : Registry 다루기
□ PowerShll로 레지스트리 다루기 파워쉘로 레지스트리 생성, 수정, 삭제하기 예제를 위해 아래 순으로 명령어를 사용하면 레지스트리의 키를 생성, 수정, 삭제를 해볼 수 있다. 레지스트리 보기 (Get-ChildItem) # ls 명령어를 이용하며, 앞에 Registry::로 시작하면 된다. (Get-ChildItem의 Alias) ls Registry::HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ # ls 명령어와 같이 Recurse 옵션 등을 쓸 수 있다. ls Registry::HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ -Recurse 키 만들기 (New-Item) # 키를 만드는 경우 NI 명령어를 사용한다...
[Python] 파이썬으로 SRT 예매 프로그램 만들기 (2) 기능 업데이트
안녕하세요? 2편이 많이 늦었네요. 1편에 이어 일부 기능을 업데이트하고 조금 더 완성도 있는 프로그램으로 만들고자 합니다. 게시물 작성 이후 추가 업데이트된 코드는 github를 참조해주세요. https://github.com/kminito/srt_reservation 1. 프로그램 구조 바꾸기 2. 예약 대기 기능 추가 3. 예약 버튼을 눌렀으나 실제 잔여석이 없는 경우 처리 3-1. 소스 확인 3-2. 조건문 만들기 4. 전체 코드 4. 후기 1편 링크 https://kminito.tistory.com/79 1. 프로그램 구조 바꾸기 이후의 기능 추가를 편리하게 하도록 하기 위하여 1편의 프로그램을 함수를 사용하는 형태로 바꾸겠습니다. 주석을 최소화하여 1편을 기준으로 수정된 부분 위주로 주석을 남..
[Python] 파이썬으로 SRT 예매 프로그램 만들기 (1) 기능 구현하기
출처 : [Python] 파이썬으로 SRT 예매 프로그램 만들기 (1) 기능 구현하기 (tistory.com)안녕하세요? 과거에 처음 코딩을 배우던 시절 짠 허접한 SRT 매진 표 예매 게시물을 올렸었는데요, 이번에 코드를 새로 짜는 김에 파이썬 초보분들에게 도움이 될 수 있도록 어떤 식으로 접근하였는지 처음부터 설명하고자 합니다. 이 게시물에서는 파이썬을 이용하여 SRT 표 검색 및 자동 예매, 매진 표 예매를 위한 자동 새로고침에 대한 코드를 다룰 것입니다. 이후 게시물에서는 기차 조건 선택이나 예약 대기, 텔레그램 알람 등의 추가 기능을 구현하고, 더 완성된 프로그램의 형태로 만드는 과정을 공유하고자 합니다. SRT 매진 표 자동 예매 시도 1. 개요 1-1. 목표 1-2. 준비물 2. SRT 홈페..