forensic-focus

DATA Area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

DATA area 구조- 모든 파일/폴더는 이 영역에 기록. 이곳에선 클러스터 단위로 읽기/쓰기가 이루어진다.- 파일은 클러스터에 직접적으로 기록 /폴더는 Directory Entry라는 구조체 형식으로 저장.- 각각의 파일/폴더는 Directory Entry로 표현하며, 크기는 32Byte이다.DATA area 영역으로 이동 (영역별 area　크기 알기) :- DATA area 영역이 시작하는 위치는 2cluster부터 이다.- Data area에 가기 위해선 FAT영역의 시작 주소, 그 크기를 알면 된다. 모든 정보는 Boot Reord.FAT영역 시작 주소 = Reserved area의 크기 = 1,116,224 ByteFAT영역 크기 = FAT Size 32 = 3,915,264 ByteData ..

FAT area 구조FAT area 영역으로 이동 (영역별 area　크기 알기) :Boot Record　( 크기 : １섹터) -> Reserved area (크기 :　19,456Byte) -> FAT area분석 결과 Reserved area의 크기가 1,116,224 Byte 인걸 알았으니 바로 이동FAT Entry :FAT32는 4바이트를 통해 데이터 영역의 시작 클러스터부터 마지막 클러스터까지 할당 관계를 표시첫번째 엔트리(0xFFFFFF8）： 해당 미디어의 타입을 나타냄두번째 엔트리(cluster 2 = 16KB 이하, 0XFFFFFFFF) :　파티션의 상태를 나타낸다.이 두개의 엔트리는 예약된 내용이므로 파일 분석 시 무시할 수 있다. 3, 4번째 엔트리(0x0FFFFFFF) :　파일의 끝을 나..

Reserved Area 구조Reserved area 구조 = FSInfo(File System Information) : 파일 시스템 정보- Reserved Area는 Boot Sector와 FSInfo 로 나뉜다.- Boot Record에서 File system info필드에 보면 해당 위치가 적혀있다.- 위 사진을 확인해보면 1섹터에 위치해 있으며 이는 대부분의 경우에 해당한다.   -> 1섹터는 512바이트로 16진수로 변환하면 200이라는 값이 나온다.   -> offset에서 200의 값으로 추적하면 FSInfo에 해당하는 내용이 나온다.  Lead Signature (0x41615252) : 이 영역은 이 섹터에 FSInfo 구조가 있음을 나타냄항상 0x41615252값을 가짐Reserved..

실제 사용중인 USB 추출하여 각 레코드별로  구조 분석 >Boot Record 구조Jump boot code (3byte, 0x9058EB) : 점프 코드로 점프하는 코드OEM Name (8byte, 0x302E35534F44534D) : OEM회사를 나타내는 문자열Bytes Per sector (2byte, 0x200) : 한 개 섹터를 구성하는 바이트 수-> 1 sector = 512ByteSector per Cluster (1byte, 0x20) : 한 개 클러스터를 구성하는 섹터 수(2의 배수)-> 1 cluster = 32sector = 16,384Byte = 16KBReserved Sector Count (2byte, 0x0886) : Reserved area의 크기(단위 : sector)-..

FATFAT(File Allocation Table) : - Microsoft에서 개발되었으며, 과거에 주로 사용하던 파일시스템. - 파일 시스템은 이름 그대로 파일의 할당 정보를 표현한 테이블이다.- FAT는 구조가 간단하여 용량이 적은 USB 등에서 주로 쓰인다. - FAT는 FAT12, 16, 32 exFAT를 구분할 수 있다. -> FAT 뒤의 숫자는 비트 수로 최대 클러스터의 수를 의미한다. exFAT(Extended File Allocation Table) :FAT64로도 불리며 윈도우 비스타, 7, 2008이상의 운영체제에서 호환하기 위해 만들어진 파일시스템이다. FAT 형식최대 표현 가능한 클러스터 수 FAT12 4,084(2^12 - 12)FAT1665,524(2^16 - 12)FAT32..

좀 늦은 대회 후기를 올린다.화이트햇 스쿨 2기 2차 프로젝트를 마치고, 해당 프로젝트를 논문을 써서 제주도 학회에서 발표를 하러 갔다.그러던 중 같이 갔던 팀원들이 링크를 보내 주면서 '우리 이 대회 한번 나가보는 것도 좋을 것 같아' 하면서 아래의 링크를 보내줬다. 2박 3일 동안 정보보안을 주제로 아이디어, 보안 제품을 개발하는 해커톤 대회이다. 상을 받게되든 안되든 여러 도전을 해봐야한다고 생각이 들어서 참가하겠다고 의사를 비췄다.   참가하기로 한 나, 화이트햇 친구 1명과 일주일 동안 개발 기획서를 작성하였다. 제출 기한 안에 제출을 하고 기다리던 중 위와 같이 문자를 받게 되어 본선에 나가게 되었다. 개발 기획서에 적은 대로 개발을 분업화하여 빠르게 진행하기 시작했다.나는 탐지 알고리즘 추가..

포렌식 공부를 시작하면서 포렌식 분석 도구에 알아가던 와중에 Encase외에 MAGNET Forensics 회사에 대해 알게 되었다. Encase, MAGNET AXIOM 모두 라이선스가 있는 유료 툴이라 한번 쯤 써보고 싶다 라는 생각을 했었다. 이번 대회를 통해 MAGNET Forensic 에서- CTF 대회를 개최- MAGNET AXIOM 한달 무료 체험판 제공을 하는 것을 보고 좋은 기회인것 같아 참여하게 되었다. 먼저 이미징 종류는 Android, iOS, Window 11 등 이미징이 제공 된다.  해당 대회 주최 시간이 2025년 2월 13일 오전 11시(EST) 이다.미국 동부 표준시(EST)로 시작하는 지라 한국 시간으로 변환하면 2025년 2월 14일 오전 1시(KST)이다.허허......

악성코드(Malwar) 란? 악성코드(Malicious Software, Malware) :사용자의 동의 없이 컴퓨터 시스템에 침투하여 정보를 탈취하거나, 시스템을 파괴하거나, 악의적인 행동을 수행하는 모든 소프트웨어를 의미한다.악의적인 목적을 가진 소프트웨어로, 시스템을 감염시키거나 데이터를 훼손하고, 사용자의 정보를 탈취하는 등의 다양한 형태로 존재하여 사람들에게 피해를 입히는 것을 말한다.악성코드의 주요 목적은정보 탈취: 사용자의 계정 정보, 금융 정보, 민감한 데이터를 빼돌림시스템 파괴: 파일을 삭제하거나 OS를 손상시켜 정상적인 동작 방해랜섬웨어 감염: 파일을 암호화하여 금전을 요구봇넷 구축: 감염된 PC를 원격에서 제어하여 대규모 사이버 공격 수행광고 및 클릭 유도: 원치 않는 광고를 표시하거..

최근 공급망 공격의 부상과 그 배경 최근 몇 년간 사이버 공격의 양상은 직접적인 시스템 공격에서 벗어나,  소프트웨어 공급망을 노리는 공급망 공격으로 진화하고 있다. 이러한 공급망 공격 은 신뢰할 수 있는 소프트웨어나 업데이트 또는 패키지 배포 과정에 악성 코드를 삽입하여 다수의 사용자나 기업에 피해를 주는 방식이다. 공급망 이란?판매 제품의 생산, 유통, 유지에 요구되는 모든 부품과 서비스를 공급하는 개별 기업들의 집합을 의미한다.사용되는 하드웨어 및 소프트웨어는 제조·유통의 과정을 거쳐 기업에 공급된다. 공급 과정 데이터 위변조 및 각 종 보안 위협에 노출될 수 있어 공급망 보안의 필요성이 지속적으로 제기되고 있다.소프트웨어 공급망의 구성 요소에 해당하는 위험은 해당 구성 요소를 사용하는 모든 소프트..