전체 글 (165) 썸네일형 리스트형 Linux Filesystem * Linux File Systemd의 종류와 특징 종류 설명 ext 2 (extended file system) * 리눅스 극 초기 버전에 사용된 확장 파일 시스템 - 소형 장치, 임베디드 시스템에서 자주 사용될 수 있음 - Unix 시스템의 실린더 그룹과 유사한 형태로 블록 그룹이 존재 (블록 : 외부 단편화를 줄이고 연속된 대량의 데이터를 읽을 때 디스크 탐색을 최소화 시키는 단위) [데이터 구조] 1. Superblock : File System 전반의 정보를 저장하는 블록 - 운영 체제 부팅 정보 - 파일 시스템 크기 정보 - 사용 가능한 공간 정보 - 블록 그룹을 백업한 복사본 보유 - 마운트 정보 등을 포함 2. Inode : 블록 단위로 저장되어 각 file과 Directory의 Metad.. Windows File System * File System : 컴퓨터 시스템에서 File, Directory를 조직화 하고 저장하는 방식이나 구조이며, OS와 저장 장치간의 인터페이스 역할을 수행함 * Windows 구형 File System의 종류와 특징 종류 사용 시스템 설명 FAT 12 (File Allocate Table) MS-DOS (+ Windows 10 ,macOS) * Windows 초기 파일 시스템으로 12bit 파일 할당 테이블을 사용 - 디스켓 드라이브 등의 초 저용량 저장 장치에 사용 [제한 사항] - 최대 디스크 용량 16MB - 최대 파일 크기 32KB - 파일 이름 8자 이하로 제한 - 확장자 3글자 제한 [구성] 1. 클러스터 : 디스크 공간을 일정하게 할당한 블록 (클러스터 기준 크기에 따라 파일이 해당 .. [Digital Forensic] Memory Analysis with Volatility3 * Memory Forensic : 대표적인 휘발성 정보로, Live Forensic을 수행 할 시 수집해야 할 주요 증거물로 사용 - 최근 악성코드 동향 중, 파일 형태가 아닌 메모리에만 적재되어 코드가 수행되는 등의 In Memory 악성코드도 존재 해당 게시물은 volatility 3를 기준으로 Memory Dump를 분석하는 준비 과정에 대한 설명을 상세히 함 * Memory Forensic의 난해한 부분 침해 사고가 발생되어 조사를 수행하는 경우, 침해 시점부터 상당 시간이 경과되거나 재부팅 등의 사유로 Memory의 악성 정보가 남아 있지 않는 경우가 상당함 Memory Dump를 수행하는 과정은 침해 당한 호스트에 접속하여 수행하게 되는데 이 과정에서 상당히 시간이 소요 (Windows는 굉.. [Digital Forensic] Linux Forensic * Linux System 핵심 현재 Kali Linux를 포함하여, Debian 계열의 점유율이 가장 높음 Tree 구조의 계층 형태로 파일 시스템이 존재 Shell based System (명령어 기반) File Types 일반 파일 특수 파일 (커널 자체 생성 파일 : 사용자가 생성 할 수 없음) Directory Kernel based System (리눅스 포렌식의 핵심) Windows Forensic의 핵심은 Registry * Linux Forensic 분석 방법론 1) Live Forensic - 활성(휘발성) 정보의 분석이 가능 - 리눅스 명령어의 사용이 가능 직접 접속을 통한 내부 분석 ssh로 접속하여 분석 2) Offline Forensic - Disk Snapshot, Image의 .. [Digital Forensic] Windows Forensic * Windows Forensic : 하기 게시물은 핵심이 되는 Artifact들의 개념, 빠르게 분석할 수 있는 부분들을 위주로 작성 * Artifact : 사용자가 아닌, 시스템이나 프로그램에 의해 생성되는 Metadata - 증거로써의 활용성이 높음 프로그램명 MAC (Modify / Access / Create) Time File Size 실행 횟수 경로 등 - Windows의 경우 AD (Active Directory) 설정에 따라 PC 자체에 로그 저장 사항이 남지 않는 등의 환경적 요인들에 의해 특정 아티팩트들이 제한적으로 존재할 수 있음 ex) 계정의 로그인 횟수 등 * Windows Artifacts 종류 - 각각의 Artifact는 OS 버전에 따라 위치, 이름 등이 상이할 수 있음 -.. [Digital Forensic] Digital Forensic Concept summary * Digital Forensic : 법의학적 접근으로 디지털 증거물의 효력을 입증하는... (개념은 그냥 구글링 하자) - 핵심은 디지털 수사 과정에 존재하는 "절차" 증거 능력 요건 내용 진정성 * 직접 연관된 증거물로 입증 - 굉장히 애매한 요소로, 가장 법적 분쟁이 많은 요소 원본성 * 제출한 증거가 원본임을 입증 - 분석 과정에서는 사안에 따라 사본을 제출하더라도 원본과 동일하다는 증명 가능할 시, 무관 무결성 * 데이터가 변조되지 않았다는 입증 - 활성 시스템(Live) 분석은 무결성 유지 과정의 입증이 중요 * 최근 환경적 요인을 고려하여 아래 방식으로 수행되는 경우도 존재 - 보안 서약서 - 수사관의 Body Cam 촬영 등 신뢰성 * Digital Forensic 과정에서의 입증 가능한 .. [AWS] VPC Flowlogs, Cloudtrail and CloudWatch, S3간 연동 * 참조 사항 - 해당 게시물은 AWS 환경에서 대표적으로 사용되는 로그 유형인 VPC Flowlog와 Cloudtrail을 각각 CloudWatch와 연동, S3로의 저장을 위한 방법과 필요 개념들을 설명한 글 * 개념 정리 용어 개념 VPC Flowlog * VPC에 생성된 네트워크 인터페이스(ENI - Elastic Network Interface)를 기준으로 송/수신되는 Traffic 로그를 수집하는 기능 Cloudtrail * AWS Account 자체의 운영, 위험 감사, 거버넌스 및 규정 준수 관련 로그를 저장 - 순수하게 계정 자체의 활동에 대한 로그만을 기록 ex) EC2 내에서 ping 발생 = Cloudtrail 로그 x ex) Account가 S3 Bucket을 생성 = Cloudt.. [Docker] Portainer 기반 OpenCTI 연동 * 참조 사항 - 이전 글 Portainer 설치를 참조하여 Docker를 사용할 수 있는 환경이 준비되면 설치가 가능하다 - 주의 사항으로, 필자는 AWS EC2에서 Build 하였기 때문에 OpenCTI를 사용하기 위한 보안 설정(Security Group)도 별도로 설정 - https://isc9511.tistory.com/172 필자의 Portainer 및 OpenCTI를 접속하기 위한 AWS Security Group 설정 사항 TCP 8080 : OpenCTI 접속 (yml 파일 설정 사항에 따라 변경 가능) TCP 11000 : Portainer 접속 (Docker 설치 과정 및 설정에 따라 변경 가능한 값) OpenCTI는 데모 페이지를 지원하기 때문에 한번 사용해보면 어떤 서비스인지 충분.. 이전 1 2 3 4 ··· 21 다음
