liqu3ur 님의 블로그

File system파일 시스템이란 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제를 말한다. 일상생활에서 도서관에 책을 배치하는 과정과 유사하게 컴퓨터에서도 수많은 파일들을 체계적으로 저장하기 위해서 어떤 구조로 파일들을 정리할 것인지, 가가 파일에 대한 정보를 어디에 저장할 것인지 등을 미리 정의함으로서, 파일을 보다 쉽게 저장할 수 있도록 정의된 하나의 구조이다. Features파일 시스템의 주요 기능은 아래와 같다.저장장치 내에 비어있는 공간을 파악하고, 적절한 공간에 파일을 저장한다.사용자가 파일을 생성하고, 수정하고, 삭제할 수 있도록 한다.파일 생성 시각, 수정 시각, 변경 시각 등을 관리한다.파일 생성, 수정, 삭제에 대한 로그를 기록하고 백업, 복구 등..

Partition, Volume파티션이란 저장장치 내의 공간을 분리해 독립적인 공간을 만든 것을 의미한다.  볼륨이란 하나의 저장 공간을 의미하는데, 정확히는 파일 시스템을 갖춘 저장 공간을 지칭한다. 일반적으로 하나의 볼륨은 하나의 파티션 내에 생성되기 때문에 파티션과 볼륨이 혼용되어 사용되기도 한다.※ 볼륨은 드라이브(Drive)라고도 부른다. C 드라이브, D 드라이브라고 부르는 것이 볼륨을 지칭하고 있는 것이다.  Partition, Volume Practice파티션을 나누고 볼륨을 만들어보도록 하겠다. [실습 준비물]- 실습에는 여분의 저장 공간이 필요하므로, USB 또는 운영체제가 설치되어 있지 않은 D 드라이브 혹은 E 드라이브※ 볼륨 포맷 실습은 잘못 진행할 경우 Windows나 중요 정보..

Artifacts디지털 포렌식에서의 디지털 증거는 크게 보관 증거와 생성 증거로 나눌 수 있다.  ※보관 증거는 사람이 직접 작성한 데이터를 의미한다.ex) 컴퓨터에서 사람이 직접 작성한 문서 등이런 증거는 작성자의 생각이나 감정이 표현되어 있기도 하다. ※생성 증거는 사용자의 직접적인 개입 없이, 자동으로 생성된 증거를 의미한다. 사용자의 어떠한 행위로 인해 간접적으로 운영체제, 파일시스템 또는 어플리케이션이 생성한 데이터를 의미한다. ex) 컴퓨터를 부팅했을 때 생성된 이벤트 로그 등 아티팩트는 생성 증거 중에서 일정한 구조를 띄는 데이터를 의미한다. Windows Artifacts Type 분류아티팩트주요 획득 가능한 데이터시스템 파일레지스트리                ※주기적인 업데이트 예정입니다.

VolatilityRAM과 같은 휘발성 메모리는 전원 공급이 중단되면 기억된 내용이 없어지는 성질을 가진다.Memory Dump메모리 덤프는 메모리에 저장된 휘발성 데이터를 비휘발성 데이터로 저장된 데이터를 말한다. 메모리에 저장된 데이터는 시간의 경과에 따라 실시간으로 변하는데, 메모리 덤프를 수행한 시각에 저장되어 있는 데이터만이 메모리 덤프의 결과가 된다.예를 들어, 어떤 데이터가 1분 뒤에 메모리에서 사라진다고 가정하면, 1분 이내에 메모리 덤프를 수행해야 그 데이터를 획득할 수 있다. 따라서 메모리 덤프는 사건이 발생한 이후 최대한 빠르게 수행하는 것이 중요하다.Memory Dump PracticeWinpmem이라는 도구를 이용해 메모리 덤프를 직접 해보도록 한다. [실습 도구 설치]winpme..

바이너리 파일의 보안 메커니즘을 먼저 확인해본다.checksec [바이너리 파일명]위 보안 메커니즘을 분석해보면1. 32비트 리틀엔디안 아키텍인 것과2. NX가 활성화되어 있는 것을 확인해볼 수 있다. NX enabled는 No-eXecute 비트가 활성화되어 있음을 의미하며, 실행 권한이 없는 메모리 영역에서 코드를 실행하지 못하게 막는 것이다.  이제 gdb를 사용해서 파일을 디버깅하도록 하겠다. gdb -q basic_exploitation_001*q옵션은 불필요한 출력 없애주기 때문에 유용하다. 아래는 info func을 사용해 현재 디버깅 중인 프로그램의 함수 목록을 출력한 이미지이다.read_flag의 주소가 0x080485b9인 것을 알 수 있다.  이제 C코드를 확인해보겠다.#include..

int __cdecl main(int argc, const char **argv, const char **envp){ int v4[8]; // [rsp+8h] [rbp-28h] BYREF unsigned __int64 v5; // [rsp+28h] [rbp-8h] v5 = __readfsqword(0x28u); init(argc, argv, envp); printf("Enter index: "); __isoc99_scanf("%d", v4); v4[0] += 1000000; if ( v4[0] 위 바이너리를 디컴파일한 코드를 좀 더 보기 편하게 변경해주겠다.int __cdecl main(int argc, const char **argv, const char **envp){ int buf[..

#include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0);}int main(void) { init(); int success = 0; int index; int buffer[10]; printf("Which index? "); scanf("%d", &index); printf("Value: "); scanf("%d", &buffer[index]); printf("index: %d, value: %d\n", index, buffer[index]); if (success == 424242) { printf("ZPLAB{XXXXXXXXXXX..

They've been trying to breach our infrastructure all morning! They're trying to get more info on our covert kangaroos! We need your help, we've captured some traffic of them attacking us, can you tell us what tool they were using and its version? NOTE: Wrap your answer in the DUCTF{}, e.g. DUCTF{nmap_7.25}그들은 아침 내내 우리 기반 시설을 침해하려고 했습니다! 그들은 우리의 숨어있는 캥거루에 대해 더 많은 정보를 얻으려고 노력하고 있어요! 여러분의 도움이 필요합니다..

보호되어 있는 글입니다.

보호되어 있는 글입니다.