forensic-focus

DATA area 구조파일이나 디렉토리 데이터가 실제로 저장되고 기록 됨.Data Area 부분의 첫 섹터는 'Root Directory' 가 저장됨.파일이나 디렉토리는 클러스터로 'Directory Entry' 라는 구조체 형식으로 저장. 크기는 32 byte 1. Directory Entry : : 파일 이름이 7byte 이하 = "Regular Directory Entry" 파일 이름이 8byte 이상 = "Long name Directory Entry" 오프셋 설명Name 이름Extension확장자Attr속성Reserved12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐 13은 생성된 시간 기록(1/10초 단위)Create Time파일 생성 시간Cre..

FAT area 구조 1. FAT Area : 파일 혹은 디렉토리의 데이터 저장할 때, 디스크 상에 할당되는 클러스터의 정보를 Entry 형태로 저장하는 영역.FAT #1FAT #2 : FAT #1 의 백업본이므로 내용은 둘 다 동일하다.FAT Entry : FAT32는 4byte 크기의 엔트리로 구성되어 있다. 이를 통해 데이터 영역의 시작 클러스터부터 마지막 클러스터까지 할당 관계를 표시할 수 있다.IndexEntry설명0 Entry0xFFFFFF8해당 미디어의 타입을 나타냄1 Entry0XFFFFFFFF파티션의 상태를 나타낸다2 Entry0x0FFFFF0F파일, 디렉토리가 디스크에 저장될 때 할당 받는 디스크의 클러스터 정보 나타냄. 파일의 끝을 나타내는 0x0FFFFFFF값이 있을 때 까..

Reserved Area 구조Reserved area 구조 : 파일 시스템 정보Reserved Area는 Boot Sector와 FSInfo 로 나뉜다.Boot Record에서 File system info필드에 보면 해당 위치가 적혀있다.아래의 사진을 확인해보면 1섹터에 위치해 있으며 이는 대부분의 경우에 해당한다.1섹터는 512바이트로 16진수로 변환하면 200이라는 값이 나온다.offset에서 200의 값으로 추적하면 FSInfo에 해당하는 내용이 나온다. 1. Boot Sector : 운영체제가 컴퓨터를 부팅할 때 필요한 정보 담고 있고, 아래 사진과 같이 BPB, Boot Code, Signature 로 나뉜다. 1. BIOS Parameter Block : 파일 시스템의 기본적인 정..

FATFAT(File Allocation Table) :- Microsoft에서 개발되었으며, 과거에 주로 사용하던 파일시스템. - 파일 시스템은 이름 그대로 파일의 할당 정보를 표현한 테이블이다.- FAT는 구조가 간단하여 용량이 적은 USB 등에서 주로 쓰인다. - FAT는 FAT12, 16, 32 exFAT를 구분할 수 있다. -> FAT 뒤의 숫자는 비트 수로 최대 클러스터의 수를 의미한다. exFAT(Extended File Allocation Table) :FAT64로도 불리며 윈도우 비스타, 7, 2008이상의 운영체제에서 호환하기 위해 만들어진 파일시스템이다. FAT 형식최대 표현 가능한 클러스터 수 FAT12 4,084(2^12 - 12)FAT1665,524(2^16 - 12)FAT322..

좀 늦은 대회 후기를 올린다.화이트햇 스쿨 2기 2차 프로젝트를 마치고, 해당 프로젝트를 논문을 써서 제주도 학회에서 발표를 하러 갔다.그러던 중 같이 갔던 팀원들이 링크를 보내 주면서 '우리 이 대회 한번 나가보는 것도 좋을 것 같아' 하면서 아래의 링크를 보내줬다. 2박 3일 동안 정보보안을 주제로 아이디어, 보안 제품을 개발하는 해커톤 대회이다. 상을 받게되든 안되든 여러 도전을 해봐야한다고 생각이 들어서 참가하겠다고 의사를 비췄다.   참가하기로 한 나, 화이트햇 친구 1명과 일주일 동안 개발 기획서를 작성하였다. 제출 기한 안에 제출을 하고 기다리던 중 위와 같이 문자를 받게 되어 본선에 나가게 되었다. 개발 기획서에 적은 대로 개발을 분업화하여 빠르게 진행하기 시작했다.나는 탐지 알고리즘 추가..

포렌식 공부를 시작하면서 포렌식 분석 도구에 알아가던 와중에 Encase외에 MAGNET Forensics 회사에 대해 알게 되었다. Encase, MAGNET AXIOM 모두 라이선스가 있는 유료 툴이라 한번 쯤 써보고 싶다 라는 생각을 했었다. 이번 대회를 통해 MAGNET Forensic 에서- CTF 대회를 개최- MAGNET AXIOM 한달 무료 체험판 제공을 하는 것을 보고 좋은 기회인것 같아 참여하게 되었다. 먼저 이미징 종류는 Android, iOS, Window 11 등 이미징이 제공 된다.  해당 대회 주최 시간이 2025년 2월 13일 오전 11시(EST) 이다.미국 동부 표준시(EST)로 시작하는 지라 한국 시간으로 변환하면 2025년 2월 14일 오전 1시(KST)이다.허허......