메모리에는 사용자의 작업을 처리하기 위한 데이터나 처리결과등이 저장되어있고 전원이 종료되면 데이터가 사라지는 휘발성 데이터이다. 프로세스정보, 인자, 실행화면, 실행한 다음 결과 ip정보, 데이터 정보, 열어본문서, 문서가 열린 실행 프로그램 열린화면, 수정한 데이터, 암호화된 데이터 복호화 키, 복호화데이터 등 다양한 정보가 저장됨. volatility툴을 활용하여 메모리 이미지를 분석할 수 있다. pstree - 실행중인 프로세스를 트리형태로 출력해준다. 프로세스 호출구조를 보고 pslist보다 이상한 행위를 알아차리기쉽다. 프로세스 링크를 조작하는 방식으로 프로세스 은닉가능. PSSCAN 플러그인은 프로세스 구조체를 전부 검사하므로 DKOM기법이 먹히지않음 리스트가 끊긴것들도 검사가능. 속도는 느림..

MFT? 파일의 위치. 속성, 시간정보, 이름, 크기 등 메타데이터를 저장. MFT 영억은 파일시스템의 파일, 디렉토리 수에따라 동적으로 할당됨. MFT는 MFT ENTRY의 집합임. ENTRY 넘버가 지정되지 않은 것들도 있다. 각각의 MFT ENTRY는 헤더와 속성으로 이루어져 있다. LSN - 로그파일의 순서번호 FLAGS - 파일이 사용중, 삭제, 디렉토리인지 등을 나타내는 플레그 WINHEX이용 MFT 영역확인 파일을 하나 클릭해보면 파일영역으로 들어와있는데 우클릭 - Navigation - seek file record 클릭 MFT Entry 영역을 확인가능. 오른쪽 체크표시 - templete 클릭 MFT ENTRY를 해석해준다. FLAG 1은 살아있는 파일을 의미함. 디렉토리는 3 MFT ..

VBR? 볼륨에 첫번째 레코드를 의미함. 볼륨의 부트코드. 부팅가능한 파티션 확인 -> 파티션에 운영체제를 부팅 -> 볼륨을 지정(C드라이브) Winhex - Partition2 로 볼륨안으로 들어온다음 다음과 같이 부트섹터의 템플릿을 볼수있다. VBR 영역을 WINHEX로 확인가능. 시그니처 NTFS나 부팅과 관련된 문자열 등을 확인할 수있음.

파일시스템? 하드디스크에 어떻게 파일을 올릴지 정의해주는 아키텍처로 이해하자 MBR - 물리적 저장장치의 Sector 0에 위치하는 512바이트 크기의 영역 MBR은 3개의 블록으로 나뉘어짐 BOOT CODE - 운영체제 부팅을 위해 부팅 가능한 파티션을 찾는 부분 Partition Table Entry - 파티션의 정보가 포함된 부분 Signature - 해당 섹터의 유무를 확인하기 위한 값 Boot flag - ox80 - 부팅가능 / ox00 - 부팅불가능. CHS Addr - 주소지정방식. 현재사용되지않음. Part Type - 이값을 보고 어떤 파티션인지 정의 (대부분 07) Ending CHS Addr - 현재 사용되지않음. Start LBA Addr - 파티션의 시작섹터 위치 Size in ..

비활성데이터? 현재 데이터에서 변동이 없는 데이터 = 저장되어있는 파일형식의 데이터로 볼수있음. 비활성 데이터 수집목록 $MFT(파일시스템 메타데이터), $LogFile, $UsnJrnl:$J(파일 시스템 로그), 웹 아티팩트, 프리패치, 바로가기 파일, 레지스트리 하이브파일, 이벤트 로그 비활성데이터 수집방법 1. 수집하고자 하는 파일의 경로를 알고, 파일명도 알 때 2. 수집하고자 하는 파일의 파일명만 알 때 3. 수집하고자 하는 파일이 여러군데 분산되어 저장될 때 OR 확장자만 알 때 $MFT 파일 수집 파일의 경로와 파일명을 알기 때문에 바로 수집이 가능하다. $LogFile도 마찬가지로 수집가능. $UsnJrnl:$J 파일수집 $Extend에 들어가면 $UsnJrnl파일이 있는데 윈핵스에서는 왼..

활성 데이터? 실행중인 프로세스, 연결 중인 네트워크, 현재 로그인 중인 사용자 현재 시스템 시소스 상황, 현재 전송 중인 패킷, 클립보드에 저장된 데이터, 메모리 등 시스템 전원이 켜져있고 살아있는 상태의 데이터를 말함. 휘발성 민감도/중요도에 따른 수집순서 물리메모리가 가장중요. 모든 활성 메모리가 저장되는 곳이 메모리 이기때문. 활성메모리를 수집하기위한 분석도구/스크립트 - BITLIVE_WIN 관리자 권한으로 cmd를 실행하고 BITLIVE_win.bat이 저장된 위치에서 BITLIVE_win.bat 스크립트를 실행해준다. 스크립트 중 일부, 다음의 형태로 스크립트가 동작하며 활성 데이터를 수집한다. 수집 행위에 대해 출력, 로깅, 수집명령어를 파일로 리다이렉션 스크립트를 실행시키면 먼저 프리패치..