일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- 정보보안
- 프론트엔드개발자
- node.js
- rce
- SQLMap
- filesystem
- 시스템해킹
- 침해사고
- error 583066
- wargame
- pwnable
- ATT&CK
- forensic
- sql인젝션
- exploit
- PetitPotam
- Index
- software
- 백엔드개발자
- elasticsearch
- elk stack
- 가이드라인
- Credential Access
- #C언어 #연산자
- 랜섬웨어
- windows
- #whitespace #
- Threat Intelligence
- Mitre
- AD
- Today
- Total
목록Security/Forensic (11)
Plit00's Story
1. ADS ? 파일에 사용되는 기본 스트림외에 다른 데이터 스트림을 추가로 저장할 수 있는 NTFS 파일 시스템에서 제공하는 기능 MFT Entry의 속성을 보면 $Data가 1개가 아닌 2개이상인 경우가 존재하며 저장되는 데이터는 Zone Identifer가 있음 텍스트 데이터를 은닉시키고 실행 파일의 데이터 또한 은닉할 수 있기 때문에 악의적인 목적으로 사용되는 기능 Windows ::DATA Alternate Data Stream | OWASP Foundation Windows ::DATA Alternate Data Stream on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to imp..
보호되어 있는 글입니다.
Entry Header : MFT 엔트리의 메타 정보를 기록하는 48byte 크기의 영역 Fixup Array : MFT 엔트리 각 섹터의 마지막 2byte 값을 임의의 Fixup 시그니처 값으로 기록함 임의로 기록한 Fixup 시그니처 값이 다르면 MFT 엔트리의 오류 발생으로 간주 트렌젝션 : 클러스터 할당 => MFT 엔트리 작성 => MFT 정보 Offset to First Attribute를 보고 처음이 몇byte인지 따라가면 알 수 있는데 LSN을 분석하면 된다 Number of this MFT Entry와 Sequence Number을 비교해서 무결성을 증명할 수 있다. $LogFile 71 27 3A BF 2A 00 00 00 : This LSN = 현재 작업 레코드의 LSN 00 00 0..
똑같은 방식으로 $LogFile과 { [root] -> [$Extand] -> [$UsnJrnl] -> [$J] } 을 export 해주고 분석하면 된다. $MFT : 모든 파일의 MFT 엔트리 정보 $LogFile : 파일 시스템 메타데이터 변경사항에 대한 트렌젝션 로그 $J : 저널 데이터를 담고 있는 $DATA 속성의 일부
MBR : 디스크 부팅 영역 GBT : GPT 파티션은 2.2TB 이상 하드디스크를 단독 사용할 수 있다.(최대 128개까지 파티션을 나눔) UEFI는 그래픽 인터페이스를 제공해 마우스로 BIOS 설정을 변경할 수 있다. VBR: 볼륨 영역 파일 시스템은 데이터 구조체를 해석하는 것 Big-Endian : 첫번째 저장 바이트를 최상위 바이트에 저장 Littile-Endian : 첫번째 저장 바이트를 최하위 바이트에 저장 파일 시스템 특정 디스크 볼륨을 효율적으로 관리(읽기/쓰기)하기 위한 시스템 NTFS 분석 = MFT 분석 LBA 0 ⇒ Sector 1 ⇒ 512byte Sector 1 ⇒ Boot code(446byte) + Partition Table(16byte*4개) 64byte + Signat..
—————————— GUI(“Aqua”) - API -Carboon -BSD -Classic(x) -Cocoa -Core OS(“Darwin”) -System utilities -Kernel(“XNU”) -BSD -Mach -I/O Kit -Drivers —————————— 32/64 bit 커널을 모두 사용할 수 있는 운영체제로, BSD 커널(유닉스계열의 운영체제)에 마크 커널을 얹은 XNU커널과 그것을 기반으로 하는 다윈을 기반으로 한다.(=유닉스기반) OS자체가 유닉스기반계열이므로 명령어는 터미널내에서 다 동작한다. 다윈이란? Apple에서 만든 오픈 소스 유닉스 운영체제이다. OS X 와 ios를 기반으로 한 구성 요소를 형성하고 있다. 또한 독립형 운영 체제로 실행할 수 있기도 한다. API A..
Windows 바로가기 파일 - 파일, 네트워크 공유, 검색 결과 등 여러 유형의 객체 간편하게 연결하기 위한 용도 - 생성되는 바로가기 파일 내에 포렌식적으로 중요한 정보 저장 파일 형식(The Shell Link Binary File Format) [MS-SHLLINK]: Shell Link (.LNK) Binary File Format Specifies the Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary learn.microsoft.com Desktop 폴더 : C:\Users\"User_name"\Desktop Re..
OS Credential Dumping: LSASS Memory 프로세스의 메모리 공간에 저장되는 도메인, 로컬 사용자 이름 및 비밀번호를 LSASS라고 한다. 사용자가 Logon 후 시스템은 LSASS 프로세스 메모리에 자격 증명 자료를 생성하고 저장한다. 이는 LSASS 프로세스 메모리를 특정 호스트에서 덤프하고 로컬 시스템에서 분석이 가능하다. EX) 특정 호스트 procdump -ma lsass.exe lsass.dmp procdump를 이용하여 lsass.exe를 dmp 덤프를 한다. 그 후 로컬로 파일을 옮기면된다. Lsass 메모리 덤프 파일을 분석 하기위해서 필요한 도구는 Mimikatz이다. > sekurlsa::Minidump lsass.dmp > sekurlsa::logonPasswo..