'포렌식' 태그의 글 목록 (25 Page)

본문 바로가기

포렌식

Registry (2) 이전 글에서 레지스트리는 5개의 루트키와 각 루트키 아래에 서브키, 데이터들로 이루어져 있다는 것을 알아보았다. 이번에는 루트키 중 맨위에 위치하고 있는 HKEY_CLASSES_ROOT에 대해서 알아 볼 것이다. 이 루트키는 하위 서브키로 HKLM\SOFTWARE\Classes와 HKU\\Classes의 집합이라는 것을 저번글에서 언급하였다. 간단하게 확인을 해보면 아래와 같다. [그림 1 - HKCR 서브키 btapp] 위 이미지에서 보면 .btapp 라는 서브키가 보인다. 하지만 HKLM에서는 아래와 같디 .btapp 서브키가 보이지 않는다. [그림 2 - HKLM 서브키] 위 HKCR 서브키 중 bsc가 보이지만 btapp는 보이지 않는다. 이 btapp는 아래 이미지처럼 HKU에 있다. [그림 3.. 더보기

Registry (1) 윈도우 포렌식에서 메모리분석과 함께 제일 중요하게 여겨지고 있는 것은 레지스트리(Registry) 분석이다. 레지스트리란, 윈도우에서의 모든 정보가 저장되어 있는 데이터베이스이다. 레지스트리의 역사는 윈도우 3.1부터 시작되었으며, 시작은 .ini 파일처럼 단순한 구조로 시작되었다. 모든 정보가 저장되어 있는 만큼 포렌식 과정에서 얻고자 하는 정보도 들어있는 것은 분명하지만, 오늘날의 레지스트리는 복잡하고 양이 방대하여 섣불리 분석을 시도했다가는 분석한 시간에 비해 얻은 결과물은 초라할 것이다. 각 레지스트리가 어떠한 정보를 담고 있는지에 대해서 알아보도록 하자. 레지스트리를 공부하기 전에 알아둬야 할 용어들이 있는데 아래에 간단히 적어보도록 하겠다. 이 용어를 숙지한 후 레지스트리를 공부하게 된다면 조.. 더보기

Memory Analysis (7) 메모리 분석에서 제일 중요한 것은 프로세스를 찾는 것이다. 특히 루트킷에 의해서 숨겨진 프로세스를 찾는 것은 안티루트킷 도구들과 메모리 분석으로 할 수 있는데, 안티루트킷 도구를 사용하면 조사환경에 어떠한 영향을 주기 때문에 포렌식적으로는 메모리 분석보다 좋지 못한 방법이다.(아예 안좋다는 것은 아님) 메모리에서 프로세스를 찾기전에 프로세스가 어떻게 정보를 저장하고 어떻게 관리가 되는지부터 공부를 해야한다. 이러한 이유로 이번에는 윈도우에서 프로세스를 어떻게 관리하고 다루는지 알아 볼 것이다. 또 프로세스를 숨기는 방법 중 가장 대표적인 DKOM(Direct Kernel Object Manipulation)의 원리도 공부해 볼 것이다. 윈도우에서는 EPROCESS라는 구조체로 프로세스의 모든정보가 들어가.. 더보기

Memory Analysis (5) 이번에는 마지막 방법인 하이버네이션에 대해 알아보겠다. [Hibernation 정의] 시스템에 일정시간이 지나도 아무런 입력이 없을 때 OS가 모든 메모리 데이터를 하드 드라이브에 기록하고 시스템 구동에 필요한 최소전원공급만을 남겨둔 채 필요 없는 전원을 차단하는 기능이다. 이 기능의 목적은 효율적인 전원 관리이다. 정의를 읽어보면 우리가 알고 있는 컴퓨터의 Sleep mode과 많이 유사하다는 것을 알 수 있다. 하지만, 이 두 기능은 분명한 차이가 있는데 그 차이는 다음과 같이 설명 할 수 있다. [슬립기능과 하이버네이션의 차이] 1. Sleep mode - 해당 기능은 메모리의 데이터가 손실되지 않도록 계속 전원을 공급하는 방식이다. 2. 하이버네이션 - 해당 기능은 메모리의 데이터를 하드 드라이브.. 더보기

Memory Analysis (3) 이번에는 메모리 덤프 방법 중 소프트웨어를 이용한 덤프 방법을 알아볼 것이다. 종류를 알아보기 전 소프트웨어를 이용한 메모리 덤프의 장단점을 알아보자. [소프트웨어를 이용한 메모리 덤프의 장단점] 1. 장점 - 메모리 덤프를 하기 위해 추가적인 장비가 필요하지 않음. - 상용 도구와 크게 다르지 않은 성능을 가지고 있는 공개 도구들이 있음. - 상용 제품들은 원격에 있는 컴퓨터에서도 메모리 덤프를 수집할 수 있음. 2. 단점 - 커널 레벨 루트킷과 악성 프로그램에 매우 취약함. - OS의 종류와 버전에 따라 사용할 수 있느 도구에 제약을 받음. - 수집하는 메모리에 자신의 흔적을 남김. 위의 내용에서 보았듯이 소프트웨어를 이용한 메모리 덤프에도 장단점이 존재한다. 하드웨어를 이용한 메모리 덤프는 얻어지는.. 더보기

이전 1 ··· 22 23 24 25 26 27 28 다음

티스토리툴바