분류 전체보기 (550) 썸네일형 리스트형 [1주차] 디지털 포렌식 기초 개념 및 도구 디지털 포렌식컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야 디지털 포렌식의 필요성해킹 등 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐범죄 수사 이외의 분야에서도 활용도가 증가하였음형사 사건이 아닌 민사사건에서의 포렌식일반 기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등등) 디지털 포렌식의 유형침해사고대응실시간 사태 파악 및 수습엄격한 입증 필요 X 증거 추출사후 조사범죄 증거 수집엄격한 입증 필요 O 디지털 포렌식의 대상디스크 포렌식 → 컴퓨터 디스크 (윈도우, 리눅스, MacOS / 개인, 서버, 클라우드)메모리 포렌식 → 컴퓨터 메모리 (RAM)네트워크 포렌식 → 네트워크 패.. [5주차] 디지털 포렌식 1팀 - 디보 기말 세미나까지 제작할 산출물인 '초심자를 위한 디지털포렌식 주요 툴 사용 매뉴얼' 에서 발표할 예정인 도구 두 개에 대해 조사한 내용을 정리해보았다. Autopsy1. 도구 소개 및 설치 방법Autopsy는 디지털 포렌식 도구로 주로 범죄 수사, 데이터 복구, 사이버 보안 위협 탐지 등에 활용됨디스크 이미지 분석, 삭제된 데이터 복구, 네트워크 아티팩트 분석 등 다양한 기능을 제공함.해당 도구는 사건 조사 및 데이터 분석에 유용하며, 법 집행기관, 보안 전문가, IT 관리자가 많이 사용함오픈소스 기반으로 무료 사용이 가능하고 직관적인 GUI 때문에 쉽게 사용할 수 있음The Sleuth Kit(TSK) 라이브러리를 기반으로 만들어짐Autopsy의 개발 배경 및 개요초기 디지털 포렌식 도구는 CLI 환경.. [6주차] 241109 악성코드분석 1팀 Dgrep.exe 동적분석Process Explorerdgrep.exe를 실행 후 발생하는 프로세스들conhost.exe, cmd.exe → cmd를 실행시키는 행위PING.EXE → TCP/IP Ping 명령시간이 지난 후 프로세스 캡처본을 봤을 때 dgrep.exe 원본 파일이 삭제된 것을 확인함.dgrep.exe 원본 파일 삭제됨 → 트로이목마 성격rundll32.exe를 실행시키면서 wiseman.exe라는 프로세스를 추가적으로 생성 → rundll32.exe 파일 경로 확인 필요 Process Monitordgrep.exe의 필터링 후 캡처본프로세스 및 레지스트리, 네트워크 관련 작업을 수행하는 것으로 보임프로세스들을 살펴보던 중, PING.exe, cmd.exe, wiseman.exe, lwg.. [6주차] 241111 워게임 도장 깨기 문제 1. old-42test.txt, flag.docx파일이 있는 것을 확인할 수 있고 두 개의 파일을 다운로드 받아보았다. test.txt는 다운로드가 되는 반면 flag.docx는 Access Denied라는 메시지가 출력된다. 푸는 방법을 알아보기 위해 코드를 살펴보았다. 위 코드를 살펴보니 test.txt 파일을 눌렀을 때 ?down=dGVzdC50eHQ=로 이동되며, flag.docx를 다운로드하면 Access Denied 라는 alert 창이 뜨는 것을 확인할 수 있었다.dGVzdC50eHQ= 값이 인코딩 된 값이라는 추측하에 디코딩 하였고, dGVzdC50eHQ= 값은 test.txt을 인코딩한 것이라는 사실을 알 수 있었다. 따라서, flag.docx 파일을 다운로드 받기 위해 위의 양식.. [2024.11.9] 프리다(Frida)를 이용한 안드로이드 앱 모의해킹 보호되어 있는 글입니다. [2024.11.09] 악성코드 분석 6주차 보호되어 있는 글입니다. [2024.11.09]PWN PWN 해 5주차 활동 5주차는 드림핵의 System Hacking 로드맵에서 Bypass PIE & RELRO, Out of bounds, Format String Bug 강의를 공부했다.https://dreamhack.io/lecture/roadmaps/2 System Hacking시스템 해킹을 공부하기 위한 로드맵입니다.dreamhack.io Bypass PIE & RELRO ELF : 실행 파일(Executable), 공유 오브젝트(Shared Object, SO)실행 파일 : addr공유 오브젝트 : libc.so Position-Independent Code(PIC) : 메모리의 어느 주소에 적재되어도 코드의 의미가 훼손되지 않는 코드, 공유 오브젝트로 재배치(Relocation)가 가능하도록 설계. Position.. [2024.11.02]PWN PWN 해 4주차 활동 4주차는 드림핵의 System Hacking 로드맵에서 Stack Canary, Bypass NX & ASLR 강의를 공부했다.https://dreamhack.io/lecture/roadmaps/2 System Hacking시스템 해킹을 공부하기 위한 로드맵입니다.dreamhack.io Mitigation: Stack Canary 스택 카나리(Stack Canary): 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 기법스택 버퍼 오버플로우로 반환 주소를 덮으려면 반드시 카나리를 먼저 덮어야 하므로 카나리 값을 모르는 공격자는 반환 주소를 덮을 때 카나리 값을 변조하게 됨. 이 경우, 에필로그에서 변조가 확인되어 공격자는 실행 흐름을 획득하지 못함. 카나리의 작동 원리 카나리 정적 분석카나리 비활성화$ .. 이전 1 2 3 4 5 ··· 69 다음
