728x90 ๋ฐ์ํ ์ ์ฒด ๊ธ289 Encase - MBR PS - ๋ฌผ๋ฆฌ์ ์ธ ์นํฐ ์ซ์ ํ์LS - ๋ ผ๋ฆฌ์ ์ธ ์นํฐ ์ซ์ ํ์CL - ํด๋ฌ์คํฐ ์ซ์ ํ์, ~๋ฒ์งธ ํด๋ฌ์คํฐSO - ์นํฐ ์์๋ถํฐ์ ๊ฑฐ๋ฆฌ( byte)FO - ํ์ผ ์์๋ถ๋ถ๊น์ง์ ๊ฑฐ๋ฆฌ(byte)LE - ์ ํ์์ญ์ ํฌ๊ธฐ ํ์(byte) X - Deleted, Overwritten File : ํ์ผ์ด ์ญ์ ๋๊ณ ๋ค๋ฅธ ํ์ผ์ ์ํด ๋ฎ์ด์จ์ง ํ์ผ๋ก ์์ ๋ณต๊ตฌ๋ ๋ถ๊ฐ๋ฅO - Deleted File : ์ญ์ ๋์์ผ๋ ๊ฒน์ณ์ฐ๊ธฐ ๋์ง ์์๋ค๋ ์๋ฏธ, ์์ ๋ณต๊ตฌ ๊ฐ๋ฅLost File(Folder, Unallocated) : parent ํด๋๊ฐ ์กด์ฌํ์ง ์๋ ํ์ผ๋ค์ ๋ชจ์์ ๊ฐ์์ ํด๋์ ์ ์ฅํ๋ค. Internal File - ํ์ผ์์คํ ๊ณผ ๊ฐ์ด ์ด์์ฒด์ ๊ฐ ๋ง๋๋ ํ์ผInvalid Cluster - ํ์ผ์ด๋ฆ ํ์ ์ ์์ผ๋ ์ ์ฅ.. For3nsic/Forensic 2015. 10. 30. Encase For3nsic/Forensic 2015. 10. 29. Encase - 1 Digital Forensic ์ฆ๊ฑฐ ์ด๋ฏธ์ง - ์ธ ๊ฐ์ง ๊ธฐ๋ณธ ์์(ํค๋, ์ฒดํฌ์ฌ, ๋ฐ์ดํฐ ๋ธ๋ก)์ผ๋ก ๊ตฌ์ฑ ๋๋ฉฐ, ์ด๋ฅผ ๋ถ์์ ์ปดํจํฐ ๋์คํฌ์ ์ํ๋ฅผ Self-Checkingํ์ฌ ์ ๊ณต CRC(Cyclical Redundancy Check) - ์ํ ์ค๋ณต ๊ฒ์ฌ - CRC๋ ์ฒดํฌ์ฌ๊ณผ ๋งค์ฐ ๋น์ทํ ๋ฐฉ์์ผ๋ก ๋์ํ์ง๋ง ์ฒดํฌ์ฌ๊ณผ ๋ฌ๋ฆฌ Order-sensitive ํน์ฑ์ ์ง๋ ์ด๋ ๋ฌธ์์ด์ ๊ฐ์ ์ฒดํฌ์ฌ์ ๊ฐ์ง์ง๋ง ๋ฌธ์์ด ๋ง๋ค ์๋ก ๋ค๋ฅธ CRC๋ฅผ ๊ฐ์ง๊ฒ ๋๋ค. ๋๋ถ๋ถ ํ๋์จ์ด๋ ๊ฐ ์นํฐ๋ง๋ค ํ๋์ CRC๋ฅผ ์ ์ฅํ๋ฉฐ ๋์คํฌ์์ READ ์๋ฌ๊ฐ ๋ฐ์ํ๋ค๋ ๊ฒ์ ๋์คํฌ ์นํฐ์ CRC์ ํด๋น ์นํฐ๊ฐ ์ฝ์ด์ง ํ ๋๋ผ์ด๋ธ ํ๋์จ์ด์ ์ํด ์ฌ๊ณ์ฐ ๋ ๊ฐ์ด ์๋ก ๋ค๋ฅด๋ค๋ ๊ฒ์ ์๋ฏธํ๋ค. ์ฆ๊ฑฐ์ด๋ฏธ์ง ํฌ๋งท - ๊ฐ๊ฐ์ ํ์ผ์ ์ ํํ๊ฒ ์น.. For3nsic/Forensic 2015. 10. 29. Forensic ์ฆ๊ฑฐ๋ถ์ํ๊ธฐ ์ ์ฆ๊ฑฐ ๋ถ์ํ๊ธฐ์ ์ ํด์ผํ๋ ์์ ์ผ๋ก ํฌ๋ ์ ์ ์ฐจ์์ ์ฆ๊ฑฐ PCํ๋๋์คํฌ๋ฅผ ๋์คํฌ ๋ณต์ฌ๊ธฐ์ ๋ฃ๊ณ ๊ณต ํ๋์ ์นํฐ ๊ทธ๋๋ก ์ฎ๊ธด ํ ํด๋น ์ฎ๊ฒจ์ง ๋ฐ์ดํฐ๋ฅผ ๊ฐ์ง ์ฆ๊ฑฐ ์ฌ๋ณธ ํ๋๋์คํฌ๋ฅผ ๋ถ์ํ๊ธฐ ์ ์ ํด๋น ํ๋๋์คํฌ์ ์๋ณธ ํ๋๋์คํฌ์ SHA ํด์, md5 ํด์๋ฅผ๋น๊ตํด์ ๊ฐ์ ํ Read-Only ์ํ๋ก ๋ถ์์ ์์ํด์ผ ํ๋ค.์ฆ๊ฑฐ ๋ถ์ ๋ฐฉ์์๋ ๋๊ฐ์ง ๋ฐฉ์์ด ์กด์ฌํ๋๋ฐ 1) ์ฌ๋ณธ HDD๋ฅผ ๋ง์ดํธ ์์ผ์ ๋ถ์ํ๋ ๋ฐฉ๋ฒ2) ์ฌ๋ณธ HDD๋ฅผ ๋ ํ๋ฒ ์ด๋ฏธ์ง๋ก ๋ ์ ์ด๋ฏธ์ง ํ์ผ ์์ฒด๋ก ๋ถ์ํ๋ ๋ฐฉ๋ฒ์ด ์๋ค.HDD RPM ์๋์ ์ํด ์๋๊ฐ ๋ฌ๋ผ์ง๊ธฐ ๋๋ฌธ์ ๋ณธ์ธ HDD๊ฐ SSD(์๋ฐ ์๋ ๋๋ค)๋ผ๋ฉด ์ด๋ฏธ์ง๋ก ๋ ์ ๋ถ์ํ๋๊ฒ ์ด๋น ํ๊ท 120MB/s๋ก ๋ถ์์ด ๊ฐ๋ฅํ๋ค. ๊ฐ์ฅ ์ฒซ๋ฒ์งธ๋ก ํด์ผํ ๋์คํฌ ํด์๊ฐ ๊ฒ์ฆ But whit.. For3nsic/Forensic 2015. 10. 29. RFHACKING Rf spectrum Analyzing๊ด๋ จํดGqrx – hack rfSdr#Gnu RadioRF analyzer – ์๋๋ก์ด๋์ฉ๋ ์์, ๋จ์ ์์ ์ ํ๋ ๊ธฐ๋ฅ ๋ฐ์์๋ค. Rf signal replay attack GNU RADIOSdr ์ํํธ์จ์ด SDR = Software Defined Radio๋ฌด์ ์ ํธ ์ก์์ ๊ธฐ๋ฅ ๋ฆฌํ๋ผ์ดํ ๋์๋ ์์ค๋ฅผ ์ ์ฅํด์ฃผ๊ณ ํตrf๋ก์ ์ก์ ํ๋ฒ ์กฐ์ฌ - ism ๋ฐด๋ ์ฃผํ์ ๋์ญ ๊ฒ์ – ๋ฌด์ ์ ํธ ์บก์ณ – ๊ทธ๋ฆฌ๊ณ ๋ฆฌํ๋ผ์ด๋ก ๋ณด๋ Security Study/Network 2015. 10. 29. web 2์ผ์ฐจ LFI1. Local File Include Attack ์ ์ค์๋ง2. Include, require ๋ฑ์ ํจ์๊ฐ ์ฃผ ํ๊ฒ3. ์ํ๋ ์ฝ๋๋ฅผ ์คํํ ์ ์์ผ๋ ํฌ๋ฆฌํฐ์ปฌ ๋ฉ์ธํ์ด์ง – ๋ก๊ทธ์ธ- ๊ธ์ฐ๊ธฐ- ํจ์ค์๋ ํ์ผ- ์ ๋ก๋ํ ํ์ผ ๊ณผ์ฐ ์ฐ๋ฆฌ๊ฐ ์ํ๋ ์ฝ๋๋ฅผ ์ด๋ป๊ฒ ๋ฃ์ง?1. /proc/self/environ2. /proc/loadavg/proc/$PID/environ3. ์น์๋ฒ ๋ก๊ทธ4. ์๋ฌ ๋ก๊ทธ----------------------------- ๋ฒ์ ์ด ์ฌ๋ผ๊ฐ๋ฉด์ ์์ ๊ณต๊ฒฉ์ ํ๋ค์ด์ง5. ํ์ผ ์ ๋ก๋ -> ๋ง์ด ์ฌ์ฉ๋จ ์ฝ๋๋ง๊ณ wrapper1. fopen, copy, file๋ฑ์ ํจ์์ ์ฐ์2. file://, http://, ftp:// ๋ฑ๋ฑ3. ๋๋ถ๋ถ์ ๋ํผ๊ฐ allow_url_include ๊ฐ o.. Security Study/Web 2015. 10. 23. windows And linux ip์ฐจ๋จ ์๋์ฐ ๊ฐ์ ๊ฒฝ์ฐ๋ ๋ฐฉํ๋ฒฝ์ ์ฐ๋๋ฐ... ์ฌ๊ธฐ์ ๊ณ ๊ธ ์ค์ ์ ํด๋ฆญํ ๋ค์์ ๋๋ฅด๊ณ ํฌํธ์ ํ๋กํ ์ฝ ์ฐจ๋จ ์์ดํผ๋ฅผ ์ค์ ํ๋ค. ๋ฆฌ๋ ์ค์ ๊ฒฝ์ฐ sudo iptables -A INPUT -s ์ฐจ๋จํ๊ณ ์ถ์ ์์ดํผ -j DROP iptables -L -> ๋ฆฌ์คํธ ๋ณด๋ ๋ช ๋ น์ด Security Study/Server(Linux) 2015. 10. 22. integer overflow #include int main(){ int a,b; printf("a + b = 0 (a,b != 0)\n"); printf("A = "); scanf("%d",&a); printf("B = "); scanf("%d",&b); if(a + b == 0) { printf("Congratulation!\n"); } else if(a == 0 || b ==0) { printf("Fuck up!\n"); } else { printf("Fuck you!\n"); } return 0;} integer overflow๋?๊ธฐ๋ณธ ์ ์ํ์์ ์ ์ฅํ ์ ์๋ ๊ธฐ๋ณธ์น์ ๊ฐ๋ณด๋ค ๋ ํฐ ์๋ฅผ ์ ๋ ฅํ์ฌ ์๊ธฐ์น ์์ ํ๋์ ์ทจํ๊ฒ ํ๋ ๊ฒ Security Study/System 2015. 10. 22. webhacking web hacking - 1) ์๋ฒ์ ์๋ ๊ฐ์ธ์ ๋ณด ํ์ทจ 2) ์์คํ ํดํน์ ์ํ ๋ฐํ XSS(ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํธ) - ๊ณต๊ฒฉ์๊ฐ ์๋ฒ๋ฅผ ํตํด ์ฌ์ฉ์๋ฅผ ๊ณต๊ฒฉ ๋ค๋ฅธ ์ฌ์ฉ์์ฟ ํค๋ ์ธ์ ์์ด๋๋ฅผ ํ์ทจํด์ ์ฌ์ฉ์์ ๊ถํ์ ์ต๋sotored - ์ ์ฅ๋์๋ ๊ฒ (์ด๋ฒคํธ ํธ๋ค๋ฌ) – ์ด์ฉ ex) bob"onmouseover="alert(1)" ๋ฐ์ ๋์ค์ด ํ์คํฌ๋ฆฝํธ‘”a=’ ‘onerror=alert(1);> reflected – ์ฟ ๊ธฐ, ์ฌ์ฉ์์ ๊ฐ์ ์๋ฒ์ ๋ ๋ ธ์ ๋ ๋ฆฌํด๊ฐ์ผ๋ก ‘);alert(‘1%0aalert(1);/* -> %0a ๊ฐํ๋ฌธ์ ์ด์ฉ ๋ค์ด๋ก๋ ์ทจ์ฝ์ ../../target -> ์์ ๋๋ ํ ๋ฆฌ๋ก ์ฌ๋ผ๊ฐ../target%00 -> NULL.\./targetindex.phpinext.pp Security Study/Web 2015. 10. 16. LOB troll -> vampire ๋จผ์ ์์ค๋ฅผ ๋ณด๋ฉด ์์ด๋ ๋ค๋ฅธ ์ ์ ๋ง์ด ๋ณผ์ ์๋ค. ๋ฌด์๋ณด๋ค ์ฃผ์๊ฐ์ด 0xbfffxxxx ๊ฐ ๋ ์ ์๋ ์ ์ด๋ค.์ด๊ฒ ๋ฌด์ ์ด ๋ฌธ์ ์ผ๊น? ์ง๊ธ ๊น์ง ํ์ด์จ ๋ฌธ์ ์ ์ฃผ์๊ฐ๋ค์ ํ์ธ ํ๋ฉด ์ ๋ถ๋ค bfff์ธ๊ฒ์ ํ์ธ ํ ์ ์๋ค. ๋ ํ๊ฐ์ง ๋ฌ๋ผ์ง์ ์ ๊ธธ์ด ๊ฒ์ฌ๋ฅผ ํ์ง ์๋ ๋ค๋ ๊ฒ์ด๋ค. ์ด๋ฅผ ์ด์ฉํ์ฌ ์ฐํํ์ฌ ๋ณด์ gdb ๋ฅผ ๋ค์ด๊ฐ์ ๊ณต๊ฒฉ์ ํ๋๋ฐ ์ผ๋จ 100000์ด๋ผ๋ ํฐ์๋ฅผ ๋์ ํด์ฌ ์ฃผ์๊ฐ์ ํ์ธํด ๋ณผ๊ฒ์ด๋ค.์ด๋ ๊ฒ ๋ฐ๋๊ฒ์ ๋ณผ์ ์๋ค. ๋ํ bffe๋ผ๋ ๊ฒ๋ ํ์ธํ ์ ์๋ค. ์ด๋ก payload๋ฅผ์์ฑํด๋ณด์\x90*44(๋ฒํผ์ ๋๋ฏธ) ๊ทธ๋ฆฌ๊ณ ์ฃผ์๊ฐ + ๋ค์ \x90 100000 ๋์ฌ๋ ๋๋ฅผ ์ํ ๊ฐ + ์์ฝ๋ ์์ด ๋ฐ์ด๋ ๊ฒ์ ํ์ธํ ์ ์๋ค. Wargame/CTF(Capture The Flag) 2015. 10. 15. LOB orge -> troll ๋จผ์ ์์ค๋ฅผ ํ์ธํด๋ณด์!์ธ์๋ 2๊ฐ๋ฅผ ๋์์ ์๊ณ argv[1]์ 48์ ๋ํ memset์ผ๋ก ์ด๊ธฐํ๊ฐ ๋๋ค. ๊ทธ๋ผ ์ผ๋จ ์๊ฐ์ ํด๋ณด๋ฉด ๊ธฐ๋ณธ์ ์ผ๋ก ํ์ผ์ด๋ฆ ๋๋ฌธ์ argv[0]์ ๋จน๊ณ ๊ฐ๋ค. ๊ทธ๋ฌ๋ฏ๋ก ์๊ฐ์ ํด์ผํ๋๋ฐ;;; ํ์ผ์ด๋ฆ์ ์ฌ๋ณผ๋ฆญ๋งํฌ๋ฅผ ์ด์ฉํด์ ์์ฝ๋๋ฅผ ๋ฑ๋ก ํ๋ฉด ์ด๋จ๊น? ์ ์๋ 48๋ฐ์ดํธ๋ฅผ ์์ฝ๋๋ฅผ ์ฌ์ฉํ์๋ค. ์ด์ ๋ \x2f ์ฆ / ๊ฐ์์ผ๋ฉด ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ๋ง๋ค์ ์๊ธฐ ๋๋ฌธ์ด๋ค. ์ด๋ ๊ฒ ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ๊ฑธ๊ณ ๋ํ gdb ๋ฅผ ์ด์ฉํด ๋ค์ด๊ฐ์ ๊ณต๊ฒฉ์ ํ๊ณ ์ฃผ์๊ฐ์ด ๋ค๋ฎ์ธ ๊ฒ์ ํ์ธ ํด๋ณด๊ณ ์ฃผ์๊ฐ์ ์ด์ฉํ์ฌ ๊ณต๊ฒฉ์ ํ๋ค. ๋ฌผ๋ก ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์ด์ฉํ๋ค. ๊ทธ๋ ๊ฒ ๋๋ฉด coreํ์ผ์ด ๋ง๋ค์ด ์ง๋๋ฐ ์ด๋ฅผ ์ด์ฉํ์ฌ ์ง์ง ์ฃผ์๊ฐ์ ๊ตฌํด๋ณผ ๊ป๋ฐ core๋ฅผ gdb ๋ก ํ์ธ ํ๊ณ x/700s $esp๋ฅผ ํ๋ค๋ณด๋ฉด ์ด.. Wargame/CTF(Capture The Flag) 2015. 10. 15. system 24byte shellcode \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80 Security Study/System 2015. 10. 15. ์ด์ 1 ยทยทยท 16 17 18 19 20 21 22 ยทยทยท 25 ๋ค์ 728x90 ๋ฐ์ํ