forensic-focus

MBR/GPT 분석>MBR/GPT 구조MBRMBRSlackVBRVolumeDataVBRVolumeData MBR Slack : MBR과 VBR 사이에 있는 낭비되는 공간VBR : 볼륨의 시작에 위치하는 구조. BPB (해당 볼륨의 파일 시스템의 메타 데이터)와 부트 로더 로딩 코드 정보가 있음.Volume Data :　file system에 의해 할당된 볼륨의 데이터가 들어가있는 공간,  MBR(Master Boot Record) :- 쉽게 얘기해서 컴퓨터가 부팅이 될 때 가장 먼저 참조하는 영역- 주로 윈도우 OS 같은 운영체제가 어디에 어떻게 위치해 있는지 식별- 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로 하드디스크 또는 디스켓의 첫 번째 섹터에  저장되어 있음- 각 디스크에서 4개 이..

NTFS (New Technology File System) 란?FAT(File Allocation Table)은 개인의 운영체제 용도로 사용하기 위해서 만들어진 파일 시스템.하지만 새로운 운영체제인 Windows NT(New Technology)의 등장으로 서버용 운영체제에서 사용하기 위한 다양한 기능이 필요했다.-> 그래서 FAT File System 이후에 등장한 파일 시스템이 이번에 분석해볼 NTFS File System 이다. NTFS의 특징 :- NTFS은 기존 다른 파일 시스템과 다르게 중요한 설정 데이터 값들이 모두 파일 형태로 할당. -> 앞에 설명한 FAT 파일시스템 같은 경우만 봐도 일정한 위치의 구조체에 레이아웃 값들 들어가고, 그 값들을 참조하여 파일시스템 설정이 가능한 구조- N..

Directory Entry00010203040506070809101112131415Name (8글자)Extension(3자)AttrReservedCreateTimeCreated DateLast AccessedDateStartingCluster HiLastWrittenTimeLastWrittenDateStartingCluster LowFile SizeName : 이름Extension : 확장자Attr : 속성Reserved : 12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐13은 생성된 시간 기록(1/10초 단위)Create Time : 파일 생성 시간Create Date : 파일 생성 날짜Last Accessed Date : 가장 최근의 읽기/쓰기한 날짜(마지막 접근 기록)Star..

DATA Area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

DATA area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

FAT area 구조FAT area 영역으로 이동 (영역별 area　크기 알기) :Boot Record　( 크기 : １섹터) -> Reserved area (크기 :　19,456Byte) -> FAT area분석 결과 Reserved area의 크기가 1,116,224 Byte 인걸 알았으니 바로 이동FAT Entry :FAT32는 4바이트를 통해 데이터 영역의 시작 클러스터부터 마지막 클러스터까지 할당 관계를 표시첫번째 엔트리(0xFFFFFF8）： 해당 미디어의 타입을 나타냄두번째 엔트리(cluster 2 = 16KB 이하, 0XFFFFFFFF) :　파티션의 상태를 나타낸다.이 두개의 엔트리는 예약된 내용이므로 파일 분석 시 무시할 수 있다. 3, 4번째 엔트리(0x0FFFFFFF) :　파일의 끝을 나..

Reserved Area 구조Reserved area 구조 = FSInfo(File System Information) : 파일 시스템 정보- Reserved Area는 Boot Sector와 FSInfo 로 나뉜다.- Boot Record에서 File system info필드에 보면 해당 위치가 적혀있다.- 위 사진을 확인해보면 1섹터에 위치해 있으며 이는 대부분의 경우에 해당한다.   -> 1섹터는 512바이트로 16진수로 변환하면 200이라는 값이 나온다.   -> offset에서 200의 값으로 추적하면 FSInfo에 해당하는 내용이 나온다.  Lead Signature (0x41615252) : 이 영역은 이 섹터에 FSInfo 구조가 있음을 나타냄항상 0x41615252값을 가짐Reserved..

실제 사용중인 USB 추출하여 각 레코드별로  구조 분석 >Boot Record 구조Jump boot code (3byte, 0x9058EB) : 점프 코드로 점프하는 코드OEM Name (8byte, 0x302E35534F44534D) : OEM회사를 나타내는 문자열Bytes Per sector (2byte, 0x200) : 한 개 섹터를 구성하는 바이트 수-> 1 sector = 512ByteSector per Cluster (1byte, 0x20) : 한 개 클러스터를 구성하는 섹터 수(2의 배수)-> 1 cluster = 32sector = 16,384Byte = 16KBReserved Sector Count (2byte, 0x0886) : Reserved area의 크기(단위 : sector)-..

FATFAT(File Allocation Table) : - Microsoft에서 개발되었으며, 과거에 주로 사용하던 파일시스템. - 파일 시스템은 이름 그대로 파일의 할당 정보를 표현한 테이블이다.- FAT는 구조가 간단하여 용량이 적은 USB 등에서 주로 쓰인다. - FAT는 FAT12, 16, 32 exFAT를 구분할 수 있다. -> FAT 뒤의 숫자는 비트 수로 최대 클러스터의 수를 의미한다. exFAT(Extended File Allocation Table) :FAT64로도 불리며 윈도우 비스타, 7, 2008이상의 운영체제에서 호환하기 위해 만들어진 파일시스템이다. FAT 형식최대 표현 가능한 클러스터 수 FAT12 4,084(2^12 - 12)FAT1665,524(2^16 - 12)FAT32..

좀 늦은 대회 후기를 올린다.화이트햇 스쿨 2기 2차 프로젝트를 마치고, 해당 프로젝트를 논문을 써서 제주도 학회에서 발표를 하러 갔다.그러던 중 같이 갔던 팀원들이 링크를 보내 주면서 '우리 이 대회 한번 나가보는 것도 좋을 것 같아' 하면서 아래의 링크를 보내줬다. 2박 3일 동안 정보보안을 주제로 아이디어, 보안 제품을 개발하는 해커톤 대회이다. 상을 받게되든 안되든 여러 도전을 해봐야한다고 생각이 들어서 참가하겠다고 의사를 비췄다.   참가하기로 한 나, 화이트햇 친구 1명과 일주일 동안 개발 기획서를 작성하였다. 제출 기한 안에 제출을 하고 기다리던 중 위와 같이 문자를 받게 되어 본선에 나가게 되었다. 개발 기획서에 적은 대로 개발을 분업화하여 빠르게 진행하기 시작했다.나는 탐지 알고리즘 추가..