forensic-focus

이번 학기부터 "머신러닝을 이용한 악성 파일 탐지 플랫폼" 이라는 주제로 프로젝트를 하게 되었다. 원래 논문의 순서는Introduction -> Experimental -> Results & discussion -> Conclusion -> References  순서 이지만, 이번에는 아래의 순서로 읽어보려고 한다.Title > Abstract > Conclusion > Results & discussion (data)> Introduction > Results & discussion (detail) CNN 기반 MS Office 악성 문서 탐지Keywords(키워드) : MS office, malicious, detection, CNN, deep learning ABSTARCT해당 논문은 CNN 알고리..

우선 파일 확장자 종류에 대해 알아볼꺼다. 파일 확장자 종류1. 텍스트 파일.txt: 순수 텍스트 파일, 특별한 형식이 없는 일반 텍스트를 저장. 메모장, Notepad++, Sublime Text 등 다양한 텍스트 편집기로 열 수 있는 파일.rtf: 리치 텍스트 형식 파일, 기본적인 텍스트 형식 정보를 포함할 수 있음. Microsoft Word와 같은 워드 프로세서로 열 수 있음..md: 마크다운 파일, 경량 마크업 언어를 사용하여 서식을 지정할 수 있음. 주로 GitHub과 같은 플랫폼에서 문서화에 사용 됨.2. 문서 파일.doc / .docx: Microsoft Word 문서 파일, 복잡한 서식과 스타일을 포함할 수 있음..doc는 이전 버전의 형식.docx : XML 기반의 최신 형식.pdf: ..

악성코드 환경 구축에 앞서 먼저 VMware나 Vritual Machine에 iso 이미지를 심어야 한다.나는 이번 악성파일 환경 구축으로  Window 10 Pro로 선정하였다. 공유 폴더 설정 (읽기 전용, 자동 마운트)공유 폴더 설정 방법으로는 아래 A, B 순서 상관없이 모두 해야한다.A. VMware Tools 설치 확인VMware Tools을 VMware에 설치한(Windows 10 Pro)에 설치 후 공유 폴더 기능 사용.설치가 되어 있지 않다면, 메뉴에서 VM > Install VMware Tools 를 선택하여 설치 후 재부팅 1. 가상 머신 전원 켜기 : Windows 10 Pro 가상 머신을 실행 2. VMware 메뉴에서 VMware Tools 설치 시작VMware Workstati..

악성코드 환경 구축에 앞서 먼저 VMware나 Vritual Machine에 iso 이미지를 심어야 한다.나는 이번 악성파일 환경 구축으로  Window 10 Pro로 선정하였다.

MBR/GPT 분석>MBR/GPT 구조MBRMBRSlackVBRVolumeDataVBRVolumeData MBR Slack : MBR과 VBR 사이에 있는 낭비되는 공간VBR : 볼륨의 시작에 위치하는 구조. BPB (해당 볼륨의 파일 시스템의 메타 데이터)와 부트 로더 로딩 코드 정보가 있음.Volume Data :　file system에 의해 할당된 볼륨의 데이터가 들어가있는 공간,  MBR(Master Boot Record) :- 쉽게 얘기해서 컴퓨터가 부팅이 될 때 가장 먼저 참조하는 영역- 주로 윈도우 OS 같은 운영체제가 어디에 어떻게 위치해 있는지 식별- 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로 하드디스크 또는 디스켓의 첫 번째 섹터에  저장되어 있음- 각 디스크에서 4개 이..

NTFS (New Technology File System) 란?FAT(File Allocation Table)은 개인의 운영체제 용도로 사용하기 위해서 만들어진 파일 시스템.하지만 새로운 운영체제인 Windows NT(New Technology)의 등장으로 서버용 운영체제에서 사용하기 위한 다양한 기능이 필요했다.-> 그래서 FAT File System 이후에 등장한 파일 시스템이 이번에 분석해볼 NTFS File System 이다. NTFS의 특징 :- NTFS은 기존 다른 파일 시스템과 다르게 중요한 설정 데이터 값들이 모두 파일 형태로 할당. -> 앞에 설명한 FAT 파일시스템 같은 경우만 봐도 일정한 위치의 구조체에 레이아웃 값들 들어가고, 그 값들을 참조하여 파일시스템 설정이 가능한 구조- N..

Directory Entry00010203040506070809101112131415Name (8글자)Extension(3자)AttrReservedCreateTimeCreated DateLast AccessedDateStartingCluster HiLastWrittenTimeLastWrittenDateStartingCluster LowFile SizeName : 이름Extension : 확장자Attr : 속성Reserved : 12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐13은 생성된 시간 기록(1/10초 단위)Create Time : 파일 생성 시간Create Date : 파일 생성 날짜Last Accessed Date : 가장 최근의 읽기/쓰기한 날짜(마지막 접근 기록)Star..

DATA Area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

DATA area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

FAT area 구조FAT area 영역으로 이동 (영역별 area　크기 알기) :Boot Record　( 크기 : １섹터) -> Reserved area (크기 :　19,456Byte) -> FAT area분석 결과 Reserved area의 크기가 1,116,224 Byte 인걸 알았으니 바로 이동FAT Entry :FAT32는 4바이트를 통해 데이터 영역의 시작 클러스터부터 마지막 클러스터까지 할당 관계를 표시첫번째 엔트리(0xFFFFFF8）： 해당 미디어의 타입을 나타냄두번째 엔트리(cluster 2 = 16KB 이하, 0XFFFFFFFF) :　파티션의 상태를 나타낸다.이 두개의 엔트리는 예약된 내용이므로 파일 분석 시 무시할 수 있다. 3, 4번째 엔트리(0x0FFFFFFF) :　파일의 끝을 나..