일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- windows
- #whitespace #
- 프론트엔드개발자
- Mitre
- pwnable
- rce
- Index
- forensic
- wargame
- 침해사고
- PetitPotam
- node.js
- software
- filesystem
- exploit
- AD
- 백엔드개발자
- sql인젝션
- 랜섬웨어
- elk stack
- 시스템해킹
- error 583066
- ATT&CK
- Threat Intelligence
- Credential Access
- 정보보안
- 가이드라인
- elasticsearch
- SQLMap
- #C언어 #연산자
- Today
- Total
목록전체 글 (67)
Plit00's Story
Entry Header : MFT 엔트리의 메타 정보를 기록하는 48byte 크기의 영역 Fixup Array : MFT 엔트리 각 섹터의 마지막 2byte 값을 임의의 Fixup 시그니처 값으로 기록함 임의로 기록한 Fixup 시그니처 값이 다르면 MFT 엔트리의 오류 발생으로 간주 트렌젝션 : 클러스터 할당 => MFT 엔트리 작성 => MFT 정보 Offset to First Attribute를 보고 처음이 몇byte인지 따라가면 알 수 있는데 LSN을 분석하면 된다 Number of this MFT Entry와 Sequence Number을 비교해서 무결성을 증명할 수 있다. $LogFile 71 27 3A BF 2A 00 00 00 : This LSN = 현재 작업 레코드의 LSN 00 00 0..
똑같은 방식으로 $LogFile과 { [root] -> [$Extand] -> [$UsnJrnl] -> [$J] } 을 export 해주고 분석하면 된다. $MFT : 모든 파일의 MFT 엔트리 정보 $LogFile : 파일 시스템 메타데이터 변경사항에 대한 트렌젝션 로그 $J : 저널 데이터를 담고 있는 $DATA 속성의 일부
MBR : 디스크 부팅 영역 GBT : GPT 파티션은 2.2TB 이상 하드디스크를 단독 사용할 수 있다.(최대 128개까지 파티션을 나눔) UEFI는 그래픽 인터페이스를 제공해 마우스로 BIOS 설정을 변경할 수 있다. VBR: 볼륨 영역 파일 시스템은 데이터 구조체를 해석하는 것 Big-Endian : 첫번째 저장 바이트를 최상위 바이트에 저장 Littile-Endian : 첫번째 저장 바이트를 최하위 바이트에 저장 파일 시스템 특정 디스크 볼륨을 효율적으로 관리(읽기/쓰기)하기 위한 시스템 NTFS 분석 = MFT 분석 LBA 0 ⇒ Sector 1 ⇒ 512byte Sector 1 ⇒ Boot code(446byte) + Partition Table(16byte*4개) 64byte + Signat..
—————————— GUI(“Aqua”) - API -Carboon -BSD -Classic(x) -Cocoa -Core OS(“Darwin”) -System utilities -Kernel(“XNU”) -BSD -Mach -I/O Kit -Drivers —————————— 32/64 bit 커널을 모두 사용할 수 있는 운영체제로, BSD 커널(유닉스계열의 운영체제)에 마크 커널을 얹은 XNU커널과 그것을 기반으로 하는 다윈을 기반으로 한다.(=유닉스기반) OS자체가 유닉스기반계열이므로 명령어는 터미널내에서 다 동작한다. 다윈이란? Apple에서 만든 오픈 소스 유닉스 운영체제이다. OS X 와 ios를 기반으로 한 구성 요소를 형성하고 있다. 또한 독립형 운영 체제로 실행할 수 있기도 한다. API A..
Windows 바로가기 파일 - 파일, 네트워크 공유, 검색 결과 등 여러 유형의 객체 간편하게 연결하기 위한 용도 - 생성되는 바로가기 파일 내에 포렌식적으로 중요한 정보 저장 파일 형식(The Shell Link Binary File Format) [MS-SHLLINK]: Shell Link (.LNK) Binary File Format Specifies the Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary learn.microsoft.com Desktop 폴더 : C:\Users\"User_name"\Desktop Re..