목록분야/Digital Forensics (12)
모두의 dream
VMware디지털 포렌식을 공부하다 보면 vmware 로 이미지 파일을 만든 후 실습을 진행해야 하는 경우가 발생한다.vmdk 파일을 주로 사용하는데, vmdk 파일에는 자체적인 헤더가 존재하므로 이 헤더를 제거해줘야 원활한 실습이 가능하다. vmdk 파일의 0x40 주소를 보면 값이 있다.00 ~ 07 까지가 우리가 필요한 값으로, 리틀엔디안 방식으로 값을 가져와 주면 된다.0x4080 이 vmware에 설치한 윈도우의 MBR 위치다. 그대로 사용하면 안되고 512byte를 섹터의 크기로 했을 때 0x4080 (16,512) 섹터에 있다는 뜻으로 16,512 섹터로 이동해주거나 16,512에 512를 곱한 값인 0x810000 주소로 이동하면 된다. vmware에 설치된 윈도우의 MBR은 위와 같다...
I. NTFS 파일시스템New Technology File SystemFAT 파일시스템의 한계점을 개선하기 위해 개발된 파일시스템.* 클러스터는 여러개의 섹터로 이루어져 있다.II. NTFS 파일시스템 구조VBR은 파티션의 첫번째 섹터에 있다.부트섹터는 VBR 첫 번째 섹터에 존재한다.현재는 MBR을 개선한 GPT가 존재한다.컴퓨터(NTFS) 부팅 절차BIOS(POST 진행) → MBR(GPT) → VBR → 메모리(RAM)에 커널 로딩 → 운영체제 실행 및 제어권 이동GPT (MBR)실습 파일을 GPT 방식으로 만들어서 GPT 를 설명한다. GPT는 기존 MBR의 한계를 해결하기 위해 만들어졌다.운영체제에 대한 정보가 담겨있는 영역으로, 이 영역이 손상될 경우 운영체제가 정상적으로 부팅되지 않는다.따라..
보호되어 있는 글입니다.
포스팅 내용 요약비디오 파일의 구성요소인 컨테이너와 코덱의 정의avi 컨테이너 구조I. 컨테이너 (Container, 보관함)동영상(비디오) 파일을 구성하고 있는 가장 큰 단위.컨테이너 안에 비디오 데이터, 오디오 데이터 존재.avi, mp4, mov 등의 확장자를 가지고 있다.II. 코덱coder + decoder / compressor + decompressor영상이나 음성 데이터를 디지털로 변환 또는 역변환하여 데이터를 관리하는 방법.III. AVI 컨테이너AVI 컨테이너는 list 와 chunk로 구성되어 있다.여러개의 list 가 존재하고, 각각 list에 여러개의 chunk가 존재한다.IV. AVI 컨테이너 구조구성 요소List00 ~ 03: List를 나타내는 LIST라는 시그니처가 존재 (..