CERT/Forensic
-
파일시스템 정리 (2)CERT/Forensic 2019. 7. 1. 16:11
NTFS ? - Windows에서 사용하는 파일시스템 - USN Journal - ADS (Alternate Data Stream) - Sparse 파일 - 파일 압축 - VSS (Volume Shadow Copy Service) - 유니코드 지원 - 동적 배드 클러스터 재할당 NTFS 구조 - 파일시스템은 기본적으로 메타영역과 데이터 영역으로 구분 - NTFS의 경우 메타영역은 VBR, MFT이며 데이터 영역은 데이터 영역 VBR (Volume Boot Record) ? - NTFS 구조에서 가장 앞부분에 위치 - 고정된 크기가 아니라 클러스터 크기에 의존 (512Byte, 1KB, 2KB, 4KB) VBR 구조 - 부트섹터 + 추가적인 VBR 영역 - VBR의 첫 번째 섹터는 부트섹터 - 추가적인 V..
-
파일시스템 정리 (1)CERT/Forensic 2019. 6. 28. 17:12
운영체제 별 파일시스템 운영체제 파일시스템 Windows FAT (12,16,32) , exFAT , NTFS Linux EXT (2,3,4) Mac OS HFS , HFS+ Solaris ZFS AIX JFS MBR (Master Boot Record) - 파티션 데이터 구조 - 부팅 가능한 파티션 최대 4개까지 생성가능 - 저장매체의 첫 번째 섹터에 위치하는 512Byte 크기의 영역 MBR 구조 Partition Table 1byte / Boot Indicator / 부팅 가능 여부 (0x80: 부팅 가능한 파티션) 3byte / Starting CHS address / CHS 시작 주소 위치 1byte / Partition Type / 파티션 종류 (0x07: exFAT, Advanced Unix..
-
윈도우 기반 VSC 접근 및 분석 (1)CERT/Forensic 2019. 3. 7. 11:29
→ VSC(Volume Shadow Copies) 접근 전 레지스트리 키 값을 확인해야 한다. HKLM\System\CurrentControlSet\Services\VSS HKLM\System\CurrentControlSet\Control\BackupRestore FileNotToBackup : 백업 애플리케이션이 백업하거나 복원하지 말아야 할 파일과 디렉토리의 목록 정리 FileNotToSnapshot : 새로 생성된 섀도 카피에서 삭제되어야 하는 파일의 목록 정리 KeysNotToRestore : 복원되지 말아야 하는 서브키와 밸류의 목록 정리 → 동작 중인 윈도우 시스템에서 VSC에 접근하기 위해선 vssadmin 명령어를 이용할 수 있다. C:\>vssadmin list shadows /for=c..
-
dd를 활용한 디스크 이미지 덤프 및 분석환경 구성 (Linux 환경 테스트)CERT/Forensic 2019. 2. 22. 10:26
→ 덤프 파일을 저장할 USB 디스크를 인식 후, "fdisk -l" 명령을 입력한다. → 현재 이미지 덤프 목표 파티션은 "/dev/sda1"이며, 덤프 파일을 저장할 USB 디스크는 "/dev/sdc1" 이다. 먼저, "/dev/sdc1" 장치를 사용할 수 있도록 마운트 작업을 한다. → /usb 라는 디렉토리를 생성한 후, "sudo mount /dev/sda1 /usb" 명령어를 입력한다. root 권한으로 /dev/sda1 파티션을 /usb 폴더로 마운트 하는 작업이다. → 파일시스템을 확인하는 명령어인 "df -h"를 입력하여, 마운트가 정상적으로 이루어진 것을 확인한다. → 마운트가 정상적으로 이루어졌으며, Linux 운영체제에서 USB 디스크를 사용할 수 있다. → 아래와 같은 명령어를 입..