해킹7 [SUA][4주차]Windows Registry내용 정리, regedit 등 도구 사용하여 실습 1. Windows Artifacts ->아티팩트란, 사전에서는 인공물, 유물을 의미한다. ->디지털포렌식에서는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미한다. 즉, 윈 도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소들로부터 찾을 수 있는 여러가지 정보이다. 보통 시스템에 생성되는 증거를 2가지(생성증거, 보관증거)로 분류하는데 생성 증거(프로세스, 시스템에 자동으로 생성한 데이터)에 해당하는 것이 아티팩트이다. 2. Registry ->정의 : 레지스트리란, 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층 형 데이터베이스이다. 모든 하드웨어, 운영체제 및 응용 프로그램 설정 정보, 서비스의 중요 데이 터 등이 기록되어 있다. 또한 부팅과정부터 로.. 2022. 7. 4. [SUA][2주차]volatility 명령어 정리 **운영체제 식별 - imageinfo : 메모리덤프의 운영체제 식별 volatility -f __imageinfo__ **프로세스 검색 - pslist : 프로세스 리스트를 시간 순서대로 보여줌 - psscan : 프로세스 구조체 스캔 후 출력, 숨겨진 프로세스 출력 가능 - pstree : pid, ppid 기준으로 구조화하여 보여줌, 최초로 생성되는 프로세스를 제외하고, 모든 프로세스는 부모 프로세스를 복제해 생성되고 계 층관계 트리가 생긴다. 각각의 프로세스는 자식 프로세스와 부모 프로세스에 대한 정보를 가진다. PID(Process ID)는 운영체제에서 프로세스를 구분하기 위해 부여한 번호이다. PPID(Parent Process ID)는 해당 프로세스를 만든 부모 프로세스의 PID를 의미한.. 2022. 5. 5. [SUA][1주차]디스크 덤프, 마운트, 메모리 덤프 실습 *용어정리* - 디스크 이미징 : 디스크를 파일의 형태로 가져오는 것. - 디스크 마운트 : 디스크 이미징된 파일을 내 컴퓨터에 등록시키는 것. - 메모리 덤프 : 실행중인 메모리를 사진찍듯이 가져와 파일로 저장하는 것. *실습과정* =>FTK Imager 설치 후 Create disk image 눌러주었다. 드라이브를 선택하라는 목록이 나오는데, 크기가 15GB인 USB를 선택했다. =>이미지 타입은 E01을 선택했다. E01은 압축된 포맷이다. =>이미지 Destination Folder의 경로를 설정하고, 이미지 파일 이름은 image로 설정하였다. 그리고 이미지 Fragment Size를 0으로 설정하였는데 이는 쪼개서 저장하지 않겠다는 의미이다. 이후 finish 버튼을 눌렀다. =>약 8분정도.. 2022. 5. 3. [드림핵 시스템해킹]x86 Assembly:Essential Part x86Assembly 해커의 언어:어셈블리 시스템 해커가 가장 기본적으로 습득해야하는 지식은 '컴퓨터 언어'에 관한 것이다. 왜냐하면 시스템 해커는 컴퓨터의 언어로 작성된 소프트웨어에서 취약점을 발견해야 하기 때문이다. 하지만 컴퓨터 언어인 '기계어'는 0과 1로만 구성되어 있어서 인간이 이해하기 어렵다. 이를 해결하기 위해서 어셈블러와 어셈블리 언어를 고안했다. 어셈블러는 개발자들이 어셈블리어로 코드를 작성하면 기계어로 코드를 치환해준다. 역어셈블러는 기계어를 어셈블리 언어로 번역한다. 따라서 기계어로 구성된 소프트웨어를 역어셈블러에 넣으면, 어셈블리 코드로 번역된다. 어셈블리어 어셈블리 언어는 컴퓨터의 기계어와 치환되는 언어이다. 기계어가 여러 종류라면, 어셈블리어도 여러 종류여야 한다. 명령어 집합.. 2022. 1. 10. 이전 1 2 다음
