모두의 dream

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. * FAT32  파일 시스템, 디렉토리 엔트리 구조에 대한 내용은 아래 링크 참고.https://roklcw.tistory.com/80 FAT32 File System모두의 dream FAT32 File System 본문roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다.Data Area의 Directory Entry를 보면 SFN, LFN의 0번째 바이트 값만 0xE5로 변경하여 파일의 상태를 변경한다.추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다. 실습파일: FAT32 파일시스템으로 포맷한 USB.II. Data Area구조Data..

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *I. FAT32 파일시스템File Allocation Table파일의 할당 정보를 표현한 테이블.* 클러스터는 여러개의 섹터로 이루어져 있다.II. FAT32 파일시스템 구조첫 번째 섹터는 MBR이 존재한다.만약 파티션이 여러개 없다면(단일 파티션) MBR 대신 VBR 부터 시작된다고 한다.실습파일: FAT32 파일시스템으로 포맷한 USB.MBR파일시스템의 종류와 상관없이 MBR과 GPT는 디스크의 첫 번째 섹터에 위치하는 데이터로, 운영체제에 대한 정보가 담겨있는 영역이다. 따라서 이 영역이 손상될 경우 운영체제가 정상적으로 부팅되지 않는다. LBA(Logical Block Addressing)는 논리적인 주소로 섹터에 접근하는 방법이다...

I. inode 분석inode에 대한 자세한 내용은 아래 링크에서 확인할 수 있다.https://roklcw.tistory.com/65 Ext4 File System*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *I. Ext4 파일시스템Extended File System, 리눅스에서 사용하기 위해 개발된 Ext 파일시스템의 4번째 후속 버전이다II. Ext4 파일시스템 구조roklcw.tistory.com 실습을 위해 /home/user/Downloads 디렉토리에 Flag_of_South_Korea.svg.png, baseball.jpg 라는 파일을 다운로드 받아놨다.root 디렉토리의 경우 2번 inode를 고정값으로 갖고 있다.root directory inode필드들을 해석해보면..

*공부를 위해 정리한 내용으로 틀린 부분이 있을 수 있습니다. *미리 쓰는 느낀점: NTFS, FAT만 보고 가볍게 덤볐다간 큰 코 다칠 수 있습니다. 너무 어렵다;;I. GPT (MBR) 디스크의 기본 구조인 GPT(MBR)에 대해 서술한다.컴퓨터(Ext4) 부팅 절차BIOS → POST → MBR(GPT) → GRUB(Boot Loader) → 메모리(RAM)에 커널 로딩 → 운영체제 실행 및 제어권 이동GPT (MBR)실습 파일을 GPT 방식으로 만들어서 GPT 를 설명한다. GPT는 기존 MBR의 한계를 해결하기 위해 만들어졌다.파일시스템의 종류와 상관없이 MBR과 GPT는 디스크의 첫 번째 섹터에 위치하는 데이터로, 운영체제에 대한 정보가 담겨있는 영역이다. 따라서 이 영역이 손상될 경우 운영체..

아티팩트: 운영체제가 자동으로 생성하는 파일 (생성증거)침해사고 조사를 할때는 아티팩트들의 타임라인을 잘 기록하여 순서대로 나열해야 시간을 단축시킬 수 있다.* 모든 경로는 윈도우 7 이상 기준. 관련 docs:http://www.forensic-artifact.com/windows-forensics/linkfilehttps://github.com/Psmths/windows-forensic-artifacts?tab=readme-ov-file분석 도구: https://ericzimmerman.github.io/#!index.md (웬만한건 거의 다 있음) 아티팩트 일괄 수집 도구:KAPE: https://ericzimmerman.github.io/KapeDocs/#!index.mdBITLive: https..

NTFS 파일시스템에 대한 내용은 아래 링크 참고https://roklcw.tistory.com/60 NTFS File SystemI. NTFS 파일시스템 FAT 파일시스템의 한계점을 개선하기 위해 개발된 파일시스템. * 클러스터는 여러개의 섹터로 이루어져 있다. II. NTFS 파일시스템 구조 VBR은 파티션의 첫번째 섹터에 있다. 부트roklcw.tistory.comI. 파일 복구가 가능한 이유파일을 삭제하면 파일의 메타데이터만 변경 되고 실제 데이터는 남아있다.MFT Header Entry를 보면 Flags라는 값이 있는데 이 값만 변경하여 파일의 상태를 변경한다.추후 시스템 복원 등에 사용되기 위해서는 데이터 자체를 삭제하지는 않게 된다.II. MFTMFT 영역에 있는 정보를 통해 삭제된 파일을 ..

VMware디지털 포렌식을 공부하다 보면 vmware 로 이미지 파일을 만든 후 실습을 진행해야 하는 경우가 발생한다.vmdk 파일을 주로 사용하는데, vmdk 파일에는 자체적인 헤더가 존재하므로 이 헤더를 제거해줘야 원활한 실습이 가능하다.  vmdk 파일의 0x40 주소를 보면 값이 있다.00 ~ 07 까지가 우리가 필요한 값으로, 리틀엔디안 방식으로 값을 가져와 주면 된다.0x4080 이 vmware에 설치한 윈도우의 MBR 위치다. 그대로 사용하면 안되고 512byte를 섹터의 크기로 했을 때 0x4080 (16,512) 섹터에 있다는 뜻으로 16,512 섹터로 이동해주거나 16,512에 512를 곱한 값인 0x810000 주소로 이동하면 된다. vmware에 설치된 윈도우의 MBR은 위와 같다...

I. GPT (MBR)컴퓨터(NTFS) 부팅 절차BIOS(POST 진행) → MBR(GPT) → VBR → 메모리(RAM)에 커널 로딩 → 운영체제 실행 및 제어권 이동GPT (MBR)실습 파일을 GPT 방식으로 만들어서 GPT 를 설명한다. GPT는 기존 MBR의 한계를 해결하기 위해 만들어졌다.파일시스템의 종류와 상관없이 MBR과 GPT는 디스크의 첫 번째 섹터에 위치하는 데이터로, 운영체제에 대한 정보가 담겨있는 영역이다. 따라서 이 영역이 손상될 경우 운영체제가 정상적으로 부팅되지 않는다. 따라서 GPT(MBR) 영역을 파괴시키거나 암호화 시키는 악성코드가 존재한다. GPT 구조의 첫 번째 섹터는 호환성을 위해 MBR과 동일하다.LBA(Logical Block Addressing)는 논리적인 주소..