Forensics
Galaxy S9+ (Android 10) 루팅 with Magisk
루팅을 좀 해보려고 했는데 보는 블로그마다 방법이 조금씩 다르고 최근 글도 없거니와 무엇보다 실패해버려서 성공했던 방법을 아래 서술합니다! OEM 잠금 해제 및 USB 디버깅이 완료되었다는 전제하에 시작합니다. 1. 순정 펌웨어 다운로드 받기 SAMMOBILE 사이트에 들어가서, 루팅하고자 하는 휴대폰 모델과 통신사에 맞는 펌웨어를 다운로드 받습니다. Download Samsung Galaxy S9+ SM-G9650 firmware Download the latest Samsung firmware for Galaxy S9+ with model code SM-G9650. Check out our free download or super fast premium options. www.sammobile.com..
DFC 2019 IR200 - 악성 파일 찾기
이 포스팅은 DFC 2019 IR200 - Block Autorun 문제 파일에서의 악성 파일을 추측한 것입니다. 1. NisSrv.exe - 경로 이상 (1) 내 PC에서의 NisSrv.exe 경로: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.3-0 (2) 문제파일에서의 NisSrv.exe 경로: %ProgramFiles\Windows Defender\NisSrv.exe 2. durlek.bat - 로그온 스크립트 파일 로그온 스크립트 파일: 사용자가 계정 로그온 시 자동으로 실행되는 스크립트 내 PC의 해당 경로에는 다음과 같이 프로그램 데이터에 관한 정보나 db 파일만 존재한다. PC방 같은 곳에서는 로그온 스크립트를 쓸 수 있지만,..
bitnang_2020 디포전2급 모의문제 2번 문제 답안 with HxD, FTK
bitnang님이 작성하신 디포전 2급 모의문제 2020 버전의 2번 문제 풀이에 관한 포스팅입니다. http://bit.ly/bit-forensic 디지털 포렌식 기초 연습실(포렌식 전문가 2급 대비) 모든 화면은 Ctrl + Enter 를 통해 큰 화면으로 볼 수 있습니다. www.notion.so 문제 풀이 1) 디스크 서명(Signature): 75 6E 64 3C 디스크 서명은 OS에서 컴퓨터 저장 장치를 구분하는데 사용되는 저장 장치의 고유한 식별 번호이다. 디스크 서명을, 디스크 신원, HDD 서명 등으로 부르기도 한다. 디스크 서명은 MBR에 위치한다. 0번 섹터의 코드 영역과 파티션 테이블 영역 사이에 있는 것이 디스크 서명이다. 2) USB의 전체 섹터 수 / 전체 용량: 30,032,..
![[MITRE ATT&CK] Event Triggered Execution: Screensaver](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbFihK4%2Fbtq1K3V4758%2FpuLzGVfkZbdC0jRl89I9Dk%2Fimg.jpg)
[MITRE ATT&CK] Event Triggered Execution: Screensaver
Event Triggered Execution: Screensaver, Sub-technique T1546.002 - Enterprise | MITRE ATT&CK® attack.mitre.org ID: T1546.002 Sub-technique of: T1546 Tactics: Privilege Escalation, Persistence Platforms: Windows Permissions Required: User Data Sources: File monitoring, Process command-line parameters, Process monitoring, Windows Registry Contributors: Bartosz Jerzman Version: 1.0 Created: 24 Janua..
$MFT로 파일의 절대 경로 찾기
아래 내용은 bitnang 님의 디포전 2급 실기 모의 문제 중 '7929번 클러스터에 위치한 '기상나팔.MP3' 파일의 전체 경로를 찾는 내용을 다룹니다. [실기] 디지털포렌식2급 실기 Tip 및 연습문제_2019 안녕하세요! 오랜만에 디지털 포렌식 2급 실기 대비 몇가지 Tip과 실기 연습문제를 하나 공개하려 합니다.... blog.naver.com ▧ 기상나팔.MP3 위치 찾기 1. 1 sector = 512 bytes (NTFS 검색) 2. 1 cluter = 8 sectors 3. Logical cluster number of $MFT = 0x2155 = 8533 4. $MFT 위치 = 128 + (8 * 8533) = 68,392 섹터 5. 7929번 클러스터 -> 0x1EF9 번 검색 -> ..
Fixup Array Structure Analysis
지난 번 $MFT의 구조에 관한 포스팅을 올렸다. hec-ker.tistory.com/272 $MFT Structure Analysis $MFT는 예약된 MFT Entry 중 0번 Entry를 말하며, MFT Entry에 대한 전체적인 정보를 담고 있다. 따라서 각 파일을 분석하기 위해서는 $MFT 정보를 획득하는 것이 선행될 필요가 있다. 앞서 말한 것 처럼 $MF hec-ker.tistory.com $MFT 파일의 헤더 구조 설명 중 'Fixup Array'에 관한 4 bytes의 오프셋이 존재한다고 했다. 이번 포스팅에서는 이 'Fixup Array'에 대해 알아보도록 하자. NTFS에서의 Fixup Array는 데이터의 신뢰성을 높이고 무결성을 증명하기 위한 구조이다. 위에서 설명한 것처럼 MFT..
$MFT Structure Analysis
$MFT는 예약된 MFT Entry 중 0번 Entry를 말하며, MFT Entry에 대한 전체적인 정보를 담고 있다. 따라서 각 파일을 분석하기 위해서는 $MFT 정보를 획득하는 것이 선행될 필요가 있다. 앞서 말한 것 처럼 $MFT 파일 정보는 MFT Entry 0번이므로 BPB에 의해 바로 접근할 수 있고 모든 MFT Entry와 같이 1,024 bytes의 고정된 크기를 갖는다. 자기 자신의 정보를 자기가 담고 있는 이 구조는 Non-Resident 형식의 속성을 지원하기 때문이다. Non-resident 속성이란, 저장할 속성 내용이 많아져 MFT Entry로는 감당하지 못할 크기가 되었을 경우 별도의 클러스터에 해당 속성을 저장하고 속성 내용에는 저장한 클러스터의 위치 정보만 저장하는 속성이다..
FAT32 File System Structure
FAT(File Allocation Table) 파일 시스템은 MS-DOS 파일 시스템 중 하나로, 크게 FAT12 / FAT16 / FAT32 등으로 나눌 수 있습니다. FAT 뒤의 숫자는 '클러스터 번호의 비트'와 같기 때문에 종류 별로 파일 시스템에서 관리하는 '최대 클러스터의 개수'가 달라집니다. 예를 들어, FAT12는 FAT 뒤에 '12'가 붙었기 때문에 클러스터 번호를 12비트로 표현합니다. 여기에 미리 예약된 클러스터가 12개 있기 때문에 최대 4,084(2^12 - 12 = 4096 - 12 = 4084)개의 클러스터를 관리/표현할 수 있습니다. 같은 원리로 FAT16과 FAT32도 클러스터 번호를 각각 16비트 / 32비트로 표현하기 때문에 최대 2^16 / 2^32 개에서 예약된 영역..
FAT32 포맷 VOL32 파티션 세팅
VOL32라는 이름의 FAT32 포맷, 1000MB를 가진 E 파티션을 생성했습니다. 기본적으로 6개의 항목이 저장되어 있는데, 파일명이 영어인 JPG 2개, 한글인 JPG 2개와 '신청서 및 개인정보동의서'라는 이름의 엑셀 파일이 ThisFolder에 저장되어 있습니다. 자격증.md 파일은 삭제하였습니다.
![정보보안 SUA - [디포] "1주차 과제"](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FDU4qX%2FbtqW4gMs2ql%2FD1K4yeCZMsKJMeFJ8A3FIK%2Fimg.png)
정보보안 SUA - [디포] "1주차 과제"
1. MBR & VBR을 복구하라! :MBR과 VBR 복구 과정과 수정한 HEX값 캡쳐 및 FTK Imager에서 인식되었다는 화면 캡쳐하기 1) MBR 복구하기 MBR의 시그니처를 추가하여 MBR 복구를 시작한다. jh8992.tistory.com/entry/FileSystem-Forensics-FAT32?category=956626 [FileSystem Forensics] 2. MBR 기초 * 들어가기에 앞서 본 스터디에 사용 된 OS 종류 및 VMware 종류에 대해 기술하고 시작하고자 한다. 다른 버전이어도 상관은 없으나, 사용 상 불편한 부분까지 본 블로그에서 일일히 다루어 주지는 jh8992.tistory.com 2) VBR 복구하기 "MSDOS"라는 문자열 검색 결과, 134번째 섹터에서 V..