전체 글
bitnang_2020 디포전2급 모의문제 2번 문제 답안 with HxD, FTK
bitnang님이 작성하신 디포전 2급 모의문제 2020 버전의 2번 문제 풀이에 관한 포스팅입니다. http://bit.ly/bit-forensic 디지털 포렌식 기초 연습실(포렌식 전문가 2급 대비) 모든 화면은 Ctrl + Enter 를 통해 큰 화면으로 볼 수 있습니다. www.notion.so 문제 풀이 1) 디스크 서명(Signature): 75 6E 64 3C 디스크 서명은 OS에서 컴퓨터 저장 장치를 구분하는데 사용되는 저장 장치의 고유한 식별 번호이다. 디스크 서명을, 디스크 신원, HDD 서명 등으로 부르기도 한다. 디스크 서명은 MBR에 위치한다. 0번 섹터의 코드 영역과 파티션 테이블 영역 사이에 있는 것이 디스크 서명이다. 2) USB의 전체 섹터 수 / 전체 용량: 30,032,..
![[MITRE ATT&CK] Event Triggered Execution: Screensaver](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbFihK4%2Fbtq1K3V4758%2FpuLzGVfkZbdC0jRl89I9Dk%2Fimg.jpg)
[MITRE ATT&CK] Event Triggered Execution: Screensaver
Event Triggered Execution: Screensaver, Sub-technique T1546.002 - Enterprise | MITRE ATT&CK® attack.mitre.org ID: T1546.002 Sub-technique of: T1546 Tactics: Privilege Escalation, Persistence Platforms: Windows Permissions Required: User Data Sources: File monitoring, Process command-line parameters, Process monitoring, Windows Registry Contributors: Bartosz Jerzman Version: 1.0 Created: 24 Janua..
![[CentOS 7] GUI로 변경하기](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbVj2fE%2Fbtq1s4VgWoS%2FeWAyMcTwfBGEtoolvhzdw0%2Fimg.png)
[CentOS 7] GUI로 변경하기
환경은 이렇습니다. 1. $ yum update 2. $ yum groupinstall "GNOME Desktop" "Graphical Administration Tools" 3. $ ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target 4. $ reboot
![[CentOS 7] Cannot find a valid baseurl for repo: base/7/x84_64](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbZrC7p%2Fbtq1xmtN0hd%2FAIIMWZAf50c65PHzlUCig1%2Fimg.png)
[CentOS 7] Cannot find a valid baseurl for repo: base/7/x84_64
yum update를 하려니 이런 에러가 뜬다. 보통 인터넷 연결이 안돼서 그렇다. ip addr을 쳐보면 ens33 어댑터에 IP 주소도 할당이 안돼있을 것이다. ifcfg-ens33 파일을 수정해서 ONBOOT 필드값을 yes로 넣어준다. 이후 reboot하거나 ifup ens33을 입력해 어댑터를 올려준다.
CentOS 7 Console에서 글자 크기 변경하기
- 일시적 방법: sun16 -> 기본, sun32 -> 2배로 크게 - 영구적 방법: vi /etc/default/grub 파일의 'GRUB_CMDLINE_LINUX= vconsole.font=latarcyrheb-sun32 vga=795' 추가 vga 값은 해상도를 의미한다. 다음 참고
CentOS 7에 PostgreSQL 11 설치 및 설정
#1 CentOS 7 VM에 올리기 1. CentOS Mirror List에서 다운받고자 하는 버전의 ISO 파일을 다운받는다. 현 포스팅에서는 CentOS-7-x86_64-Everything-2009.iso을 설치하였다. CentOS Mirrors List isoredirect.centos.org 2. VM에 다운받은 ISO 파일을 올린 다음, ROOT 암호 및 사용자 생성 등의 설정을 통해 설치를 마무리한다. #2 PostgreSQL 설치 및 시작 1. su rpm -Uvh https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm 2. yum install -y postgres..
Nmap Port Scanning with Wireshark
Nmap 이란? 네트워크 상의 '지도'를 구성할 수 있는 유틸리티. 호스트 스캐닝, 포트 스캐닝 등을 수행한다. Nmap - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. Nmap(network mapper)은 원래 고든 라이온(Gordon Lyon)이 작성한 보안 스캐너이다. 이것은 컴퓨터와 서비스를 찾을 때 쓰이며, 네트워크 "지도"를 함께 만든다. 다른 간 ko.wikipedia.org Nmap 설치 (CentOS 6) # nmap 기설치 확인 rpm -qa | grep nmap # yum을 통한 nmap 설치 yum install nmap # 버전 확인 nmap -V 실습 환경 공격PC: CentOS 6, 192.168.65.159 희생PC: Windows 10, 192.168..
$MFT로 파일의 절대 경로 찾기
아래 내용은 bitnang 님의 디포전 2급 실기 모의 문제 중 '7929번 클러스터에 위치한 '기상나팔.MP3' 파일의 전체 경로를 찾는 내용을 다룹니다. [실기] 디지털포렌식2급 실기 Tip 및 연습문제_2019 안녕하세요! 오랜만에 디지털 포렌식 2급 실기 대비 몇가지 Tip과 실기 연습문제를 하나 공개하려 합니다.... blog.naver.com ▧ 기상나팔.MP3 위치 찾기 1. 1 sector = 512 bytes (NTFS 검색) 2. 1 cluter = 8 sectors 3. Logical cluster number of $MFT = 0x2155 = 8533 4. $MFT 위치 = 128 + (8 * 8533) = 68,392 섹터 5. 7929번 클러스터 -> 0x1EF9 번 검색 -> ..
runlevel에 따른 서비스 실행 제어 with chkconfig
runlevel에 따른 서비스 실행 제어 with chkconfig chkconfig는 부팅 시 자동으로 실행되는 서비스의 시작 여부를 결정할 수 있는 명령어이다. 기본적으로 StandAlone 방식과 xinetd 방식의 서비스를 구분하여 runlevel에 따른 실행 여부를 조회할 수 있다. 예를 들어 'sshd'라는 서비스의 runlevel을 조회해보자. $ chkconfig --list sshd의 출력을 보면, runlevel=2 ~ runlevel=5에서 sshd(OpenSSH의 서버 process)는 부팅 시 자동 실행되는 것을 알 수 있다. 현재 시스템에 접속된 runlevel은 cat /etc/inittab을 통해 확인한다. 현재 runlevel=5 이므로, 시스템 부팅 시 /etc/rc.d/..
서비스 동작 방식 전환: StandAlone -> xinetd(inetd)
StandAlone 방식의 서비스인 vsftpd를 xinetd 방식으로 전환해보자. 먼저 /etc/init.d 디렉터리에서 vsftpd 서비스가 StandAlone 방식임을 확인한다. /etc/xinet.d 디렉터리 밑에 vsftpd라는 파일을 생성하고 아래와 같이 작성한다. 이제 기존의 StandAlone 방식에서의 설정 파일인 /etc/vsftpd/vsftpd.conf을 수정한다. 아래 listen=YES 구문을 주석처리 하거나 'NO'로 수정한다. chkconfig에서 vsftpd 데몬을 정지 혹은 삭제한다. chkconfig --del vsftpd 구문을 실행하지 않으면, 아래처럼 runlevel에서만 차단된다.
Linux Daemon - StandAlone vs. xinetd (inetd)
리눅스 환경에서의 서비스 운영 방식은 2가지로 분류할 수 있다. (1.1) 서비스 운영 방식 - StandAlone 항시 떠있으면서 서비스하는 방식 (background process) /etc/initd에서 조회 가능 서비스 자체를 사용하지 않아도 메모리, CPU를 점유하고 있음 서비스 요청이 많은 WEB, MAIL 등이 쓰는 방식 서비스 요청이 적음에도 이 방식으로 사용한다면 비효율적 StandAlone 서비스는 데몬을 구동시킬 수 있는 스크립트를 저장하는 /etc/init.d (= /etc/rc.d/init.d) 파일에서 그 목록을 확인할 수 있다. bluetooth, httpd, network, apache 등의 서비스들이 이에 해당한다. 모든 서비스 파일들은 /etc/init.d 디렉터리의 실제..
Windows의 서비스와 네트워크 서비스
Windows의 서비스와 네트워크 서비스 윈도우의 서비스는 윈도우가 실행되고 있는 동안 백그라운드 모드에서 구동되는 실행 파일로, 사용자의 관리를 요구하지 않는다. (1) 윈도우 스냅인 윈도우 스냅인 관리 도구 중 services.msc를 실행하여 로컬 시스템에 구동될 수 있는 서비스 목록을 조회할 수 있다. 이 곳에서는 각 서비스에 대한 설명과 함께 서비스 시작/중지/일시정지/계속을 지정할 수 있다. 작업 관리자를 통해서도 '서비스' 관리도구로 넘어올 수 있고 작업 관리자의 '서비스' 탭에서도 목록 조회가 가능하다. 또 다른 스냅인으로 msconfig를 통해서도 서비스 목록을 조회할 수 있다. 이 중 아래와 같은 서비스들이 네트워크 서비스에 해당한다. (2) 명령어 - sc.exe, net start/..