-

ntfswalker          http://dmitrybrant.com/ntfswalker

ntfs파일생성시간 http://www.digital-detective.net/digital-forensic-software/free-tools/

NTFS참고             http://www.cse.scu.edu/~tschwarz/coen252_07Fall/Lectures/NTFS.html

MBR 

 운영체제에서 OS의 위치 정보 가리킴

CHS

  물리적인 주소 지정방식 (실린더, 헤드, 섹터 구조에 기반)

 현재는 이용되지 않는다. (용량 제한의 문제 발생)

LBA

 하드디스크의 구조정보를 이용하지 않고 단순히 0부터 시작한다. 모든 섹터를 논리적인 번호로 0부터 나열한 것이다. CHS 한계점 때문에 사용되며 현재 사용되는 방식.

[LBA주소찾기] : 1C0 / 06-09

ex) 00 08 00 00

=> 0x 00 00 08 00

     = 2048

[시작 MFT값 찾기] : 030 / 00-07

ex) 00 00 0C 00 00 00 00 00

=>0x 0C 00 00 = 78643

 = 786432*8+2048  

 = 6293504

[NTFS Walker] : 파일 정보 위치 찾기

복구 할 목록 확인

ex) MFT #39

= 6293504 + (39*2)

= 6293582

[RunList & 파일크기]

1. 파일 이름 값 뒤 80확인

2. 80번 아래 4번째 값이 런리스트 오프셋

= 0x BFB65 * 8 + 2048

= 785253 * 8 + 2048                          

= 6284072

= 0x 00 00 00 00 00 03 E9 08

= 0x 3E908

[MFT 속성 타입 ID] 

[파일복구순서]

생성시간 (0B0 / 08-0F)

파일이름 (0F0 / 02-0F) //80전까지(이름 길이에 따라 다름)

런리스트 : 파일이름 끝 80에서 아래로 4번째

파일크기 : 런리스트 왼쪽 8Byte

파일위치 : ex)31 -> 1byte 건너 (3byte*클러스터크기)+VBR

      ------------------------------

참고] ntfs.xlsx

1. 휘발성 데이터 수집 (Live Data 수집)

 1) 수집대상

 2) 명령어

 3) 스크립트

2. 메모리 포렌식(메모리 덤프/분석)

 1) 메모리 덤프

 2) 분석(volatility)

1. 휘발성 데이터 수집

▷ Live Data 수집 시 참고자료

- RFC3227 , NIST SP800-86 : 포렌식 절차 / 대상 등을 정의

https://www.ietf.org/rfc/rfc3227.txt

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf

- NIST CFFT(Computer Forensic Tool Testing) : 포렌식 도구 검증

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf

□ 휘발성 데이터 수집대상

=> 주로 사용 할 도구 

- Sysinternals Suite(https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx)

- 기본 윈도우 내장 명령어(cmd.exe, c:\window\system32)

□ 휘발성 데이터 명령어

▷ 시간정보

date : 날짜

time : 정보

옵션 /t : 정보 수정없이 현재 정보만 표시

> date /t & time /t

▷ 기본적인 시스템 정보수집 

[wmic](Windows Managemant Instrumentation Console)

: (wmic 실행 시 프롬프트 변경)

os : 대략적인 시스템 정보 전체 조회

os get [특정항복1], [특정항목2].. : 특정 항목만 조회

  installdate         : 설치날짜

  serialnumber     : 시리얼정보

  currenttimezone : 현재 시간대 정보

  localdatetime     : 시간정보

  useraccount      : 사용자 계정 정보

[SysinternalsSuite] (폴더로 경로이동)

Sysinternal 도구 실행 시 뒤에 ' /accepteula '옵션 추가      //(end user license agree?)

  - 라이센스 동이 GUI 창 미표시

  - 자동 라이센스 동의(스크립트)

ㄴ시스템 정보 확인(sysinternals)

PsInfo : 기본 시스템 정보 수집

-d : 디스크 정보

-s : 설치 된 프로그램 정보 (안나오는것도 있음)

-h : 핫픽스 정보

ㄴ로그인 된 사용자 정보 (Sysinternals도구)

: 원격 데스크톱 연결 등을 통해 접속한 사용자 목록 확인

ntsuers : sysintemtool 사이트에서 다운로드

http://www.systemtools.com/cgi-bin/download.pl?NetUsers (현재X)

ㄴ세션 정보 확인(sysinternals)

logonsessions

=> 사용자 로그인 세션 외의 기타 서비스 관련 세션 등의 정보 확인 가능

-p : 각 세션이 실행하는 프로세스 목록 확인

[열려있는 파일 목록 조회]

 net file

 openfiles

 psfile 

[cmd에서 실행헀던 명령어 조회](해당 cmd창에서만 유효)

 doskey /history

[프로세스 목록 조회]

 tasklist : 내장 명령어

       /v : 상세 정보 표시

    /svc : 프로세스가 관련된 서비스 정보 조회

 pslist(sysinternals)

-t : 프로세스 트리표시

-x : 스레드 등 상세 정보 표시

[DLL확인]

 listdll.exe (sysinternals)

[핸들 확인]

 handle.exe (sysinternals)

[서비스 목록 조회]

 psservice.exe (sysinternals)

▷ 네트워크 관련 정보

[네트워크 정보 수집]

 netstat: 네트워크에서 열려있는 포트 정보 등 조회

-a : 전체 네트워크 정보 (TCP이외의 연결)

-n : 이름 서비스 조회 중지

-o : 관련 프로세스 정보

-b : 프로세스 이름 정보 표시

 fport : 포트 정보 확인 (xp까지는 됐으나 현재 X)

 tcpvcon(sysinternals) : 네트워크 포트 정보 확인

-a : 전체 포트 정보

-n : 이름 표시 X

-c : csv형태로 표시 (분석 용이)

[네트워크 인터페이스 정보]

 ipconfig /all : NIC 상세 정보 출력

 getmac       : MAC Address 표시

[라우팅 테이블]

 netstat -r , route print : 실행 결과 동일

[arp 캐시 확인]

 arp -a : 현재 시스템의 arp 캐시 확인

[dns캐시]

 ipconfig /dispalydns : 현재 시스템 DNS 캐시확인

[네트워크 드라이브 확인]

 net use  : 네트워크 드라이브 연결 / 목록 확인

[Netbios 이름확인]

nbtstat -c : netbios 이름 / 캐시 출력

▷예약작업

 at           : 일회용 예약 작업 목록    ex)at 13:00 cmd.exe

 schtasks   : 작업스케줄러에 등록된 예약 작업 목록

□ 스크립트(배치파일 batch)

- .bat

test.bat

reuslt.txt

□휘발성 데이터 수집 스크립트 작성 시 유의사항

① 스크립트 실행결과는 파일로 저장

② 스크립트 실행 시 중단되지 않도록 비 대화형 명령 수행

③ 스크립트 실행에 사용되는 파일은 전부 별도로 준비

   (윈도우 내장명령어, 기타 sysinternals 도구 등)

④ cmd.exe도 별도로 준비

참고사이트  [forensic proof]

http://forensic-proof.com/

2. 메모리 포렌식

□ 메모리 포렌식의 필요성

 ① 메모리에 직접 올라가는 악성 프로그램 등을 분석 가능

     인 메모리 라이브 인젝션

 ②프라이버시를 위하여 보호된 사용자 데이터들이 메모리에 올라갔을때는 암호화 해제

□ 활성데이터 수집(Live Data)과 메모리 포렌식의 차이점

□ 메모리 덤프

- 하드웨어 방식 / 소프트웨어 방식

[하드웨어 방식] http://www.grandideastudio.com/tribble/

tribble : RAM 슬롯에 장착하여 메모리 덤프 수행

- 사전에 설치되어 있어야 함

- 설치가 되어있을경우 다른 영향 없이 덤프 추출 가능

IEEE1394(Firewire) : DMA가 가능 (Direct Memory Access)

                          USB는 운영체제를 통해서만 메모리 접근 가능

   원인을 알 수 없는 시스템 크래시가 자주 발생

=> 이러한 이유로 소프트웨어 방식의 메모리 덤프 사용

     - 윈도우 API의 영향을 받을 수 있음

     - 덤프를 만드는 과정에서 시스템에 영향을 줌

□ 메모리 덤프 추출 도구

 ▷ 사용자가 임의로 추출한 덤프

- dumpit (http://www.downloadcrew.com/article/23854-dumpit)

  : cmd창 -> y -> 메모리 덤프

- memoryze (Mandiant사에서 만든 도구)

  : C:\Program Files (x86)\MANDIANT\Memoryze\memoryDD 관리자 권한으로 실행

- DD

 : 예전에는 사용가능했으나 현재 윈도우에서는 불가

- FTK Imager Lite (무료도구)

: 메모리모양 클릭 ->경로 설정 -> capture memory -> 끝

 ▷ 자동저장 덤프 (일반적으로 메모리 포렌식에서 사용하지 않음)

- 크래시 덤프 : 장애 발생 시 자동 저장

경로)사용자설정-고급설정-시작및복구-시스템오류-디버깅정보쓰기-커널/작은/전체 메모리 텀프

- 절전모드 덤프 : 최대 절전모드에서 사용하는 덤프 c:\hiberfil.sys

  //끄기 powercfg -h off

- VMware 등 가상컴퓨터 시스템 - .vmem 파일

EPROCESS 구조체

 - 프로세스가 메모리에 존재할 때의 구조체

 - 환형 이중 링크드 리스트 형태

프로세스 스캔 방식

 - 리스트 워킹(List Walking)     : 링크를 따라 프로세스 검색

 - 패턴 매칭 (Pattern Matching): 실제 메모리 데이터 상 EPROCESS형태를 가진 프로세스 검색

□ 메모리 덤프 분석 도구

[volatility] (http://www.volatilityfoundation.org/25)

- volatility.exe -h : 사용법 조회 (플러그인 목록)

1) imageinfo :  vola.exe -f [메모리덤프파일이름] imageinfo

   메모리 덤프가 추출 된 시스템의 정보 확인  

   Suggested Profile에서 운영체제 종류 확인

   Service Pack이 여러개 검색 될 경우 아래부분의 Service Pack 항목 확인

   Win7SP1x64

2) pslist : vola.exe -f [덤프파일] --prorile=Win7SP1x64 pslist

   리스트워킹 방식으로 프로세스 검색

3) psscan : vola.exe -f [덤프파일] --prorile=Win7SP1x64 psscan

   패턴 매칭 방식으로 프로세스 검색

4) pstree : 프로세스 트리

5) psxview : 다양한 프로세스 검색 방식으로 비교

6) dlllist :

7) dlldump : dlldump --dump-dir [덤프 대상 디렉토리] --pid [특정PID]

- DLL을 추출

추출 된 DLL은 virustotal

8) handle

- 프로세스가 접근중인 자원의 목록 확인(핸들)

9) getsids

- 보안식별자 확인

- 프로세스가 사용한 보안식별자 목록 환인

- 권한상승 등의 공격 확인 용도

10) mod시리즈

- modules, modscan, moddump

- 로드된 드라이버(*.sys)

- modules는 리스트 형태로 검색, modscna은 패턴매칭으로 검색

- moddump를 사용하여 덤프

11) thrdscan

- 스레드 정보 검색

12) 네트워크 관련 플러그인

- XP이전  : connections, conscan, sockets, sockscan

connections    연결정보를 리스트로 검색

conscan         연결정보를 스캔으로 검색

socket           열려있는 포트정보를 리스트로 검색

sockscan        열려있는 포트정보를 스캔으로 검색

- Vista 이후 : netscan

13) svcscan

- 서비스 관련

14) cmdscan

- cmd에서 입력했던 명령어

15) consoles

- 마지막 cmd창의 화면 상태 표시

16) procdump

- 특정 프로세스 덤프

--dump-dir [경로] --pid [PID]

□ 레지스트리 관련

17) hivescan : 메모리에서 레지스트리 목록 확인
18) hivelist : 레지스트리 주소와 파일 관계 매칭
19) printkey : 레지스트리에서 특정 값 출력
20) hivedump : 레지스트리 하이브 파일로 덤프
21) hashdump : 윈도우 SAM에 들어있는 계정 해쉬 추출

22) clipboard : 메모리 덤프시 클립보드 내용 출력
23) screenshot : 메모리 덤프시 대략적인 윈도우 배치
24) windows : 덤프시 열려있던 윈도우 창 정보

<Open System Interconnection 7 Layer>

[목적]

1. 표준(호환성) : 비용절감

2. 학습도구

[장점]

1. 표준화

2. 데이터 흐름 이해 쉬워짐

3. 문제 파악 용이

- 데이터링크 계층만 해더+트레일러(오류제어)

- 나머진 헤더만 붙음

- 물리계층은 전기신호로 보냄(2진수)

- L1,L2 두 계층만으로도 통신 가능(ex)블루투스)

- 실제 네트워크 프로토콜은 1,2,3계층만 사용

[구조]

<TCP/IP>

Port번호(port주소)

- 동일 IP시스템에서 프로세스 구분을 위한 주소

- 0~65535번 주소 사용(16bit 주소 사용)

[System Port]

- FTP ex)

- 매일 전송 방식 ex)

1. 광역 통신 방식

- 회선 교환 / 메세지 교환 / 패킷교환(오늘날 통신 방식)

1) 회선 교환

- A~C까지 전용선 구축하여 통신

- 많은 양 전송 가능

- 회선 독점으로 비효율적

2) 메세지 교환

- 가변 길이 메세지 단위로 저장/전송 (축적 전송, Store-and-forword)

3) 패킷 교환

- 송.수신지를 포함하는 패킷들로 데이터 구성

- 구성 : 헤더 + 데이터 + 순환잉여도 검사(오류체크)

- 저장/전송 사용

- 데이터를 쪼개고 해더를 붙인 후 전송 -> 해더 떼고 재결합

2. 무선 LAN

- 무선 주파수나 적외선 기술을 이용하는 근거리 통신

장점 : 선 필요X, 단말기 이동 자유로움

단점 : 비쌈, 느림

[표준]

- IEEE(전기전자기술자협회)는 무선 LAN표준으로 802.11, 802.11b, 802.11a, 802.11s, 802.11n 등 지정

- 현재 802.11n(=Wifi)규격 자주 사용

- 802.11n : 2.4 or 2.5GHz 주파수, 최대 300Mbps 까지 제공.

- 802.11ac : 이론적으로 전송속도 최대 6.93Gbps

[매체 접근 방식]

- CSMA/CA : CSMA/CD와 유사(짧은 제어 메세지 먼저 전송→ 상황 파악 →전송)

[보안 대책]

- 데이터 암호화   ex)Wifi 비밀번호 설정

  : WEP → WPA → WPA2

1. LAN

2. 매체 접근 방식

  - LAN에 연결 된 모든 장치는 정의된 규칙에 따름  (충돌방지)

MAC(Media Access Control, 매체 접근 제어)

1) 토큰제어 방식

     토큰링 방식     : 실시간 처리 요구 분야에 적합

     토큰 버스 방식 : 물지적 버스형, 논리적 링형

2) 경쟁방식

     CSMA/CD (Carrier Sense Multiple Access with Collsion Detection)

       반송파          다중 접근               충돌 방지

    (≒LBT : Listen Befor Talk)

3. 이더넷

- LAN통신은 전부 이더넷

- 통신규약

4.FDDI(Fiber Distribute Data Interface)

- 고속 연결이나 백본(기간망)으로 사용

- 광섬유 사용

[유니캐스트/브로드캐스트/멀티캐스트(IPv4)]

1. 유니캐스트

- 1 : 1 방식

- MAC이용 (출발지-도작지 MAC주소 확인)

2. 브로드캐스트

- 1 : 전부

- FF-FF-FF-FF-FF-FF로 도착지 주소 지정 (IP = 255.255.255.255)

- 네트워크 대역폭 차지 (자원 낭비)

- 보안에 좋지 않음

3. 멀티캐스트

- 1 : 다수

- 특정 그룹에게만 한 번에 전송(유니&브로드캐스트 단점 보완)

- 224~239.x.x.x 사용    ex)가 그룹 - 224.10.10.10

- 도착지(목적지)를 멀티캐스트로 지정하면 특정 그룹에 전송

[전송 방식에 따른 통신 방식]

- 통신 : 떨어져 있는 두 지점 간에 정보를 전송 하는 것

- 단뱡향(Simplex)           ex)아날로그TV방송, 모니터, 키보드 등

- 양방향(Duplex) :

      전이중(full-Duplex)   ex) 휴대전화

반이중(Half-Duplex)  ex) 무전기

[직렬&병렬 전송]

- 직렬 : 느림

- 병렬 : 빠름

전송매체 ? 물리적 선로

유선전송 매체 : 동축케이블, 꼬임선(랜선), 광섬유 케이블

1. 동축 케이블 (Coaxial Cable)    ex) 케이블 TV

  - 꼬임선 보다 주파수, 전송속도, 전자파&외부신호 차단 ↑   

2. 꼬임선 (Twisted pair)             : 이중 나선 케이블

- UTP : 비용저렴, 설치 용이, 1~6등급(6이 가장 빠름), 보통 5등급(100mbps)사용.

3. 광섬유 케이블 (Optical Fivercable)

  - 빛을 이용

  - 휘는 범위에 한계있음

  - 설치 복잡

  - 비쌈

  - 가장 빠름 

1. LAN(NIC, Network Interface Card)

  - USB도 있음

  - 고유주소 = MAC주소

2. 허브(Hub)

  - 여러대의 컴퓨터 연결하는 장치

  - 렌선(=이더넷케이블,UTP)사용 각 포트에 연결

  - 단순복제 장치(전기신호반복)

  - 모든 네트워크에 전기신호 전송

  - 연결 된 갯수만큼 속도 1/n로 느려짐

3. 스위치(switch)

  - 대역폭 극대화 장치

  - 전송대상에게만 전송(판별은 MAC주소로)

  - 대역폭 낭비 절감(=속도↑)

  - 송/수신 같이 가능

4. 브릿지(bridge)

- 초기 Switch(스위치보다 성능,포트갯수↓)

5. 게이트웨이(gateway)

  - 종류가 다른 2개 이상의 네트워크를 상호 접속하여 정보를 주고 받음

  - 서로 다른 프로토콜 통신망 간에도 변환하여 정보 전달 가능

   (LAN, PPN, PSPN 등)

  - 보통 Switch가 게이트웨어 역할 함

6. 중계기(repeater)

  - 신호 증폭

  - UTP가 100m 이상일 때 중계기를 사용하여 신호 재전송

  - 보통 Swtich가 함.

7. 라우터(router)

  - WAN의 시작점 (서로 구조가 다른 망(LAN,MAN,WAN)을 연결 할 수 있음)

  - 2가지 이사으이 네트워크 연결

  - 라우팅 테이블에서 하우팅 결정

  - 서로 다른 네트워크 간 데이터 전송

    (home network와 internet)

----------------------------------------------------------------------------

- IP주소    : 32bit

          127.0.0.1 자기자신(로컬호스트)  //LAN카드 고장 확인에 유용

- MAC주소 : 48bit

00-00-00   -  00-00-00

제조사번호    고유번호

네트워크란 ? 두 대 이상의 통신장치를 연결 한 것.

데이터 공유, 주변장치 공유, 능률적 통신, 손쉬운 백업, 자원낭비 감소 등의 이점이 있음.

1. ipconfig (리눅스 ifconfig)

- 네트워크 인터페이스 정보 [사설IP확인가능]

- 옵션    

ipconfig /all        : MAC주소 확인 가능

ipconfig /release  : IP주소 해제 (네트워크 연결 해제)

ipconfig /renew   : IP주소 갱신 (네트워크 재연결)

2. netstat

- 사용중인 port정보 (프로토콜,로컬주소,외부주소,상태 등) [공인IP확인가능]

- 옵션

netstat -a  : 전체 정보                   ex) ~~~ : http

netstat -n  : 포트번호를 숫자로 표시 ex) ~~~ : 443

netstat -r   : 라우트 정보

- 보통 netstat -an 사용

3. nslookup

- DNS조회

ex)

4. hostname

- 호스트 이름 확인 (컴퓨터의 네트워크상 이름)

5. net user

- 사용자 계정 확인

6. ping

- 상대방 호스트의 상태확인에 사용

- icmp프로토콜 사용

ex) ping 192.168.100.1

7. tracert (리눅스 traceroute)

- 네트워크 경로 확인

8. arp (address resdution protocol)

- IP주소와 MAC주소 매칭

- 옵션 

arp -a : arp 캐쉬 확인

- 보통 arp -a 사용

9. route print

- 라우팅 테이블

- netstat -nt로도 확인 가능

--------------------------------------------------------------------------------------

- PORT? 프로세스들의 주소 ex)웹은 80

- DNS ? 숫자주소를 URL주소로 바꿔서 서비스 해줌.

- TTL  ? 패킷수명

윈도우 128 / 리눅스,유닉스 : 64 / 통신장치 : 64or 255

(상황에 따라 다를 수 있지만 대부분 맞음) 

- 라우팅? 가장 빠른 경로 탐색