728x90 ๋ฐ์ํ ํฌ๋ ์24 ํ๋ฐ๊ธฐ ์นจํด์ฌ๊ณ ์ ๋ณด ๊ณต์ ์ธ๋ฏธ๋ ์ฐธ์ ํ๊ธฐ ์ค๋๋ง์ ์ธ๋ฏธ๋์ ์ฐธ์ํ์๋ค. ์ด๋ฐ์ ๋ฐ ์ผ๋ค๋ก ์ธํ์ฌ ๋ง์ด ์ฐธ์ฌํ์ง ๋ชปํ์๋๋ฐ ์ด๋ฒ์ ํฅ๋ฏธ๋ก์ด ์ธ๋ฏธ๋์ด๊ธฐ์ ์ฐธ์ํ์๋ค. ๋ฐ๋ก ์นจํด์ฌ๊ณ ์ ๋ณด ๊ณต์ ์ธ๋ฏธ๋์ธ๋ฐ KISA์ ํ๋ ์ธ๋นํธ๊ฐ ๊ฐ์ด ์ค๋นํ ์ธ๋ฏธ๋์๊ณ ์ฌ๋ฏธ์๋ ์นจํด์ฌ๊ณ ๋ด์ฉ์ด๋ ์ธ์ฌ์ด๋ ๋ฑ์ ๊ณต์ ํ๋ ์๊ฐ์ด์๋ค. ์ฌ์ค ์ธ๋ฏธ๋ ๋ฐ ์ปจํผ๋ฐ์ค๋ฅผ ๊ฐ๋ ์ด์ ๋ ์ธ๋งฅ๊ณผ ์ง์ธ๋ค์ ๋ง๋๋ฌ ๊ฐ๋ ๊ฒ์ด ๋๋ถ๋ถ์ผ ์ ์๋ค. ์ค๋๋ ์ธ๋ฏธ๋๋ฅผ ์ฐธ์ํ๋ ๋ฐ๊ฐ์ด ์ผ๊ตด๋ค์ด ๋ง์๋ค. ๊ตฐ๋์์ ์๊ฒ๋ ์น๊ตฌ๋ค ๋๋ณด๋ค ๋จผ์ ์ ์ญํ๊ณ ์ด๋ป๊ฒ ์ง๋๋์ง ๊ถ๊ธํ๋๋ฐ ํ๋ ์ธ๋นํธ๋ผ๋ ์ข์ ํ์ฌ์์ ์ผ์ ํ๊ณ ์๋ค๋ ๋ฉ์ง ์น๊ตฌ๋ค์ด์๋ค. ๋ํ KISA์์ ์ด์ฌํ ์ผํ๋ค๊ฐ ํ๋ ์ธ๋นํธ์ ๋ค๋๊ณ ์๋ ์นํ ๋ฌด์์ด ๋๋๋ ์ ์ ๋ ๋ฉ์ ธ์ง๊ณ ์๋ ๊ฒ๊ฐ๋ค. => ๋๋๊ฐ ๋ํํ ์ผ๋ณธ ์์์น ๊ฐ๋ค๊ณ ํจ ;;;.... B.. My Story/์ผ์-_- 2023. 12. 4. ๋์งํธ ํฌ๋ ์ ์ฑ๋ฆฐ์ง 2023 ์ฐธ๊ฐ ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค. 5์ 1์ผ๋ถํฐ ๋์งํธ ํฌ๋ ์ ์ฑ๋ฆฐ์ง 2023์ด ์์๋์๋ค. ์ด์ฐ์ด์ฐํ๋ค๋ณด๋ ์ฐธ์ฌ๋ฅผ ํ๊ฒ ๋์๋ค. https://dfchallenge.org/ Digital Forensics Challenge Digital Forensics Challenge Digital Forensics Challenge hosted by Korea Institute of Information Security & Cryptology (K.. For3nsic 2023. 5. 5. GPT(GUID Partition Table)์์์ MFT๋ ๊ณผ์ฐ? ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค. ๋ด์ฉ ์ต๊ทผ์ ์ด๊ฒ์ ๊ฒ ํ๋ค๊ฐ ํ๊ฐ์ง ์๋ฌธ์ ์ด ์๊ฒผ๋ค. ์๋ํ๋ฅผ ๋ง๋ค๊ณ ์๋๋ฐ NTFSํ์ผ ์์คํ ์ ๊ฒฝ์ฐ MFT(master file table)์ ์์ฝ๊ฒ ์์ง์ ํ ์์์๋ค. ๊ทธ๋ฐ๋ฐ ์ด๋ ์์คํ ์์๋ ์๋๋๋ฐ ์ด๋ ์์คํ ์์๋ ์์ง์ด ์์๋์ด์ ๊ถ๊ธ์ฆ์ด ์๊ฒผ์๋ค. ๊ทธ๋์ ์ด๊ฒ์ ๊ฒ ์ฐพ๋ค๊ฐ GPT(GUID Partition Table)์ ๊ฒฝ์ฐ ์์ง์ด ์์๋๋ ๊ฒ๊ฐ์๋ค. ์์ธ์ด ๊ณผ์ฐ ์ด๊ฒ์ผ๊น ์๊ฐํ๋ฉด์ ํ์ธ์ ํด.. For3nsic/Forensic 2023. 3. 24. [Tenable CTF] network forensic ์ฌ์ฌํ์ด ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค. ๊ฐ์ Tenable CTF์์ ์ถ์ ๋ ๋คํธ์ํฌ ํฌ๋ ์ ๋ฌธ์ ๋ฅผ Wireshark๋ฅผ ์ด์ฉํ์ฌ ํ์ด๋ณธ ๋ด์ฉ์. ๋ด์ฉ ๋จผ์ PCAPํ์ผ์ ์ด์ด ํ์ธ ํด๋ณด๋ฉด ๋ค์ ๋ด์ฉ๊ณผ ๊ฐ๋ค. ํ๋กํ ์ฝ์ ์ข ๋ฅ์ ๋ฐ์ดํฐ์ ์์ ๋ณด๊ธฐ ์ํด ํด๋น ๋ด์ฉ์ ํ์ธํด๋ณธ๋ค. Statistics -> Protocol Hierarchy๋ฅผ ํด๋ฆญํ๊ฒ ๋๋ฉด ์๋์ ๋ด์ฉ์ฒ๋ผ ํต์ ํ๋กํ ์ฝ์ ํ์ธ๊ฐ๋ฅํ๋ค. ICMP(Internet Control Messag.. Wargame/CTF(Capture The Flag) 2023. 3. 4. EnCe Phase1 Result EnCe Phase 1 ์ํ์ ์ณค์ต๋๋ค!! ์ ๋ฒ์ ๋ถํฉ๊ฒฉํด์ ์ฐ์ธํ๋๋ฐ ์ด๋ฒ์ ๋ค์ ์ํ์ ์ณค์ต๋๋ค. ๋ฌผ๋ก ๋ค์ ๋์ ๋ด๊ตฌ... ๊ฒฐ๊ณผ๋ ํฉ๊ฒฉ!! ํ์ต๋๋ค!! ใ ์ผ์ผ์ผ์ผ์ผ์ผ์ผใ ใ ๊ฒฐ๊ณผ๋ ์ํ์น๊ณ ๋ฐ๋ก ๋์ต๋๋ค. ๊ทธ๋์ ํฉ๊ฒฉ ๋ถํฉ๊ฒฉ์ ๋ฐ๋ก ์์ ์์ฃ !! ํฉ๊ฒฉํ๋๊น ์ด๋ ๊ฒ ๋ฉ์ผ์ ํตํด์๋ ์๋ ค์ค๋ค๋ ์ !! ์ด์ Phase2๋ฅผ ์ค๋นํ๋ฌ ๊ฐ์ผํ๋๋ฐ ์ค๊ธฐ๋ 2๋ฌ๋์ ์น๋ค์ง๋ค๋์ !! ์์ ผ ์งฑ๊ธธ์ฅฌ...? ๋ง๋์๋ ์ค๊ธฐ๋ฅผ ๋ถ์ด์ ๊ผฌ์ฅ์ค๊ฒ ์ต๋๋ค!! ๊ทธ๋ผ 20000์ผ์ผใ ์ผ์ผ์ผ For3nsic/EnCase 2020. 1. 27. ๋ง์ ๊ด์ฌ ๋ถํ๋๋ ค์! ์ฌ์์น๊ตฌ๊ฐ ์ผ์ด์ค์ ํค๋ง์ ์ผํ๋ชฐ์ ํ๊ณ ์์ต๋๋ค. ๋ง์ ๊ด์ฌ๊ณผ ์ฃผ์์ฌ๋์๊ฒ ํ๋ณด๋ถํ๋๋ฆฝ๋๋ค.(ํ๋ณดํ๊ณ ์ ํํ ๋ชฐ๋๋ง์ํด์ฃผ์๋ฉด ์ฌ์ํ์์์ง๋?) ์! ๊ทธ๋ฆฌ๊ณ ๋ค์์ฃผ ํ๋ฌ๋์ ์ธ์ผํ๋ค๊ณ ํ๋ค์!!(๋ง์ ๊ด์ฌ ์ฃผ์ค๊บผ์ฃ ?) ์คํ ์ด : http://haejju.shop ํด์ญ์ต : ๋ค์ด๋ฒ์ผํ ์ค๋งํธ์คํ ์ด ์์ดํ ํค๋ง / ์์ดํ ์ผ์ด์ค / ๊ธฐํ ์์ ์กํ / ๊ธฐํ ์ํ์ฉํ ์ ๋ ดํ ๊ฐ๊ฒฉ smartstore.naver.com ์ฌ๊ธฐ์ ๋๋ค. ๋ง์ ์ฌ๋๊ณผ ๊ด์ฌ ๋ถํ๋๋ ค์. ๋งค์ผ๋งค์ผ ๋ฌผ๊ฑด ๋ง๋ค๊ณ ์ฐ๊ตฌํ๋ ๊ฑฐ๋ณด๋ฉด ์์ฒญ ์์ค๋ฝ์ง๋ง ์์ฒญ ์์๋๋ผ๊ตฌ์!! ํ๋ฒ ๊ตฌ๊ฒฝ์ด๋ผ๋ ํด๋ณด์ธ์ :-) ๊ทธ๋ฆฌ๊ณ ํ๊ฐ์ง ๋๋ถํ์ด ์์ต๋๋ค. ์ฌ์์น๊ตฌ์ VLOG๋ฅผ ์ฐ๊ณ ์์ด์. ์ฒ์์ด๋ผ ๋ง์ด ์ํด๊ณ ์์ด๋ป๋ณด์ด๋๋ผ๋ ํ๋ฒ์ฉ๋ง ๊ตฌ๋ ํด์ฃผ์๊ณ ์์ฒญํด์ฃผ์ธ์. ์กฐ๊ธ์ฉ .. My Story/์ผ์-_- 2020. 1. 2. ๋์คํฌ / ํ์ผ์์คํ - ๋์คํฌ ๋น๊ต์ ๋จ์ํ ๊ตฌ์กฐ๋ฅผ ๊ฐ์ง๊ณ ์๋ค. ๊ทธ๋ฌ๋ ๋ง์ฝ ์ธ๋ถ ์ ์ฒด์ ์๋ขฐ๋ฅผ ํ๋ค๋ฉด ์ ๋ณด ์ ์ถ์ด ๋๋ฏ๋ก ์ฃผ์ ํด์ผํ๋ ๋จ์ ์ด ์๋ค.๋์คํฌ๋ฅผ ๋ถ์ ํ ๋๋ ์ฆ๊ฑฐ ์ ์ฅ์ฉ ๋์คํฌ๋ฅผ Master๋ก ์ค์ ํ์ฌ ๋ถ์ ๋์ ๋์คํฌ๋ฅผ slave๋ก ์ง์ ํ์ฌ ๋ถํ ์ master๋ก ํ๋ค.์ด์ ๋ ์ฆ๊ฑฐ์ฉ ๋์คํฌ์ ์ํฅ์ ์ฃผ์ง ์๊ธฐ ์ํด์ ์ด๋ค. ๋์คํฌ ๋ถ์ - ๋ฐ๋์ ์๋ณธ์ ๋ณต์ ํ ๋ณต์ฌ๋ณธ์ ๊ฐ์ง๊ณ ๋ถ์์ ํ๋ค. - ์ฝ๊ธฐ ์ ์ฉ์ผ๋ก ์ค์ ํ ํ ๋ถ์ํ๋ค. - ๋ณต์ ๋์คํฌ๋ ์๋ณธ ๋์คํฌ๋ ์ฉ๋์ ๊ฐ๊ฒํ๋ค. (๊ฐ์๊ฒ ์๋ค๋ฉด ํฌ๊ฒ) ๋์คํฌ ๋ณต์ - H/W ์ ์ธ ๋ฐฉ๋ฒ : ์ฅ๋น๋ฅผ ์ด์ฉ, ์ฌ์ฉ์ด ๊ฐํธํ๊ณ ์๋๊ฐ ๋น ๋ฅด์ง๋ง ๊ฐ๊ฒฉ์ด ๋น์ธ๋ค. ๋ํ ๋ผ์ด๋ธ ์์คํ ์์ ์ํ์ด ๋ถ๊ฐ๋ฅํ๋ค. - S/W ์ ์ธ ๋ฐฉ๋ฒ : ๋ผ์ด๋ธ ํ ์์คํ ์์ ๊ทธ๋๋ก ๋์คํฌ ๋ณต์ฌ .. For3nsic/Forensic 2015. 12. 22. Forensic TimeLine ํ์๋ผ์ธ์ด ๋ฌด์์ผ๊น? ํ์๋ผ์ธ์ ์ฌ์ ์๋ฏธ๋ก๋ ์ฐ๋ํ, ์๊ฐํ ์ด๋ฌํ ์๋ฏธ๋ฅผ ๋ค๊ณ ์๋ค.๋๋ ๋น๋์ค ํด๋ฆฝ์ด๋ ์ค๋์ค ํด๋ฆฝ์ ์์๋๋ก ๋ฐฐ์นํ๋ ํธ์ง ํ๋ก๊ทธ๋จ ์์ ๊ณต๊ฐ. ํ์๋ผ์ธ์ ๋ ์ด์ด์ ํ๋ ์์ผ๋ก ๊ตฌ์ฑ๋์ด ์๋๋ฐ, ๋ ์ด์ด์ ๊ฒฐํฉ์ ํตํด ํ๋ฉด์ ์ด๋ฏธ์ง๋ ์ค๋์ค๋ฅผ ๋ฐฐ์นํจ์ผ๋ก์จ ์์ง์ด๋ ์ ๋๋ฉ์ด์ ์ด๋ ์์ ์ ๋ง๋๋ ๊ธฐ๋ฅ์ด๋ค.- ๋ค์ด๋ฒ ์ฉ์ด์ฌ์ - ๊ทธ๋ฌ๋ ์ฌ์ ์ ์๊ฐํ์ง ๋ง๊ณ ์๋๋ผ๋ ์ฃผ์์ ์์ ์ ํ๋ ์ฌ๋์ด๋ ๋น์ทํ ์ผ์ ํ๋ ์ฌ๋๋ค์ ๋ณด๋ฉด ํ์๋ผ์ธ์ด๋ผ๋ ๋จ์ด๋ฅผ ๋ง์ด ์ฌ์ฉํ๋ค.์ด์ฒ๋ผ ์ปดํจํฐ๋ฅผ ๋ถ์ํ ๋ ๋ํ ํ์๋ผ์ธ์ด ์ฌ์ฉ๋๋๋ฐ ์ด๋ ํ ๋์์ ํ๋์ง ์๊ฐ์ ๋จ๊ฒจ์ค๋ค. ์ฐจ์ด๊ฐ ์์ ์ ์์ง๋ง ์ด๋ฌํ ์๋ฏธ๋ฅผ ๊ฐ์ง๋ค. ์ด๋ฌํ ๊ธฐ๋ฅ์ ์ด๋์ ํ ์ ์์๊น?ํ์๋ผ์ธ ๊ธฐ๋ฅ์ ์ธ์ผ์ด์ค์ ์๋ ๊ธฐ๋ฅ์ด๋ผ๊ณ ์๋ค. ์ธ์ผ์ด์ค 7.x.. For3nsic/Forensic 2015. 12. 14. USB ์์ฒด๊ฐ ์๋ ์ด์์ฒด์ ๋จ์์ ์ ์ฅ์ฅ์น์์ ์ฐ๊ธฐ ๋ฐฉ์งํ๊ธฐ ์ ๋ชฉ ๊ทธ์์ฒด๋ก ์ ์ฅ์ฅ์น์์๊ฐ ์๋ ์ด์์ฒด์ ๋จ์์ ์ ์ฅ์ฅ์น์์ ์ฐ๊ธฐ ๋ฐฉ์งํ๋ ๋ฐฉ๋ฒ์ด๋ค.์ด๋ป๊ฒ ๋ณด๋ฉด ์ข๊ณ ์ด๋ป๊ฒ ๋ณด๋ฉด ์.... - Key : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies- Value : WriteProtect- Data : 0x00000001 (์ฐ๊ธฐ ๋ฐฉ์ง ์ค์ ), 0x00000000 (์ฐ๊ธฐ ๋ฐฉ์ง ํด์ ) For3nsic/Forensic 2015. 11. 23. USB forensic ์ต๊ทผ๋ค์ด ์ด๋์ ๋์คํฌ ์ฆ, USB์ ์ฌ์ฉ์ด ๋ง์์ง๊ณ ์๋ค. ๋ํ ์์ผ๋ก๋ ๋์ด๋ ๊ฒ ๊ฐ์? ๋๋์ด ๋ค๊ณ ์ด๋ฅผ ์ ์ฑ์ฝ๋ ์ ํฌ ๋๋ ์๋ฃ ์ ํฌ ๋ฑ์ผ๋ก ๋ง์ด ์ด์ฉ ๋๊ณ ์๋ค. ๊ณผ์ฐ usb๋ ์ด๋ป๊ฒ ์ธ์์ด ๋๊ณ ์ด๋ป๊ฒ ์ฌ์ฉ๋ ๊น? ๋จผ์ usb๋ฅผ ๊ฝ์์ ๋ Bus Driver๋ผ๋ ๊ณณ์์ PnP Manager์๊ฒ ์ ์กฐ์ฌ์ device์ ์ผ๋ จ ๋ฒํธ๋ฅผ ๋ณด๋ด์ด ์ฐ๊ฒฐ์ด ๋์์์ ์๋ฆฐ๋ค.๊ทธ ํ ์ปค๋๋ชจ๋ PnP Manager๋ ๋ ์ง์คํธ๋ฆฌ๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ๋๋ผ์ด๋ฒ๊ฐ ์ค์น๋์ด์๋์ง๋ฅผ ํ์ธํ๋ค.๋ง์ฝ ์ค์น๊ฐ ๋์ด ์์ง ์๋ค๋ฉด ์ปค๋๋ชจ๋ PnP Manager๋ ์ ์ ๋ชจ๋ PnP Manager์๊ฒ ๋๋ผ์ด๋ฒ์ ๊ด๋ จ ์ํญ์ ์ ๋ฌ ํ๋ค. ์ค์น๊ฐ ๋์ด ์๋ค๋ฉด ๋๋ผ์ด๋ฒ๋ฅผ ๋ก๋ํ๋ค.์์ ๊ณผ์ ์ ๋ง์น๋ฉด ๋ ์ง์คํธ๋ฆฌ์ ๊ธฐ๋ก์ํ๊ณ ์ค์น๊ณผ์ ์ SetupAPI ๋ก๊ทธ.. For3nsic/Forensic 2015. 11. 23. volatility ์ฌ์ฉ๋ฒ 3 printkey ์ด ๋ช ๋ น์ด๋ ๋ ์ง์คํธ๋ฆฌ ํค๊ฐ์ ๋ณด์ฌ์ค๋ค. netscan์ด ๋ช ๋ น์ด๋ ํ์ฑํ๋ ๋คํธ์ํฌ ์ ๋ณด๋ฅผ ์๋ ค์ค๋ค.(windows 7์์๋ง ์ฌ์ฉ๊ฐ๋ฅ) connections๋ช ๋ น์ด๋ฅผ ์ด์ฉํ์ฌ ๋คํธ์ํฌ๋ฅผ ๊ฒ์ฌํ๋ค.์ฌ๊ธฐ์ ๋ ์์ธํ ์๊ธฐ์ํด ๋ฐ์ ๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํ๋ค. connscan ์ด ๋ช ๋ น์ด๋ ์์ ๋ช ๋ น์ด์ ๊ฐ์ง๋ง ์ด๋ฏธ ๋์ด์ง ๋คํธ์ํฌ๋ ๋ํ๋ด ์ค๋ค. ] yarascan์ด๋ช ๋ น์ด๋ yara๋ฅผ ์ด์ฉํ์ฌ ์ ๋์ฝ๋ ๋ฑ์ ๊ฒ์ํ์ฌ ์ค๋ค. For3nsic/The Art of Memory Forensic 2015. 11. 19. volatility ์ฌ์ฉ๋ฒ 2 kpcrscan์ด๋ Finding Object Roots in Vista ์ ๋ฌ์ฌ๋ ๊ฒ์ฒ๋ผ ์์ฒด์ฐธ์กฐ ๋ฉค๋ฒ๋ค์ ์ฒดํฌํจ์ผ๋ก์จ ์ ์ฌ์ KPCR ๊ตฌ์กฐ๋ค์ ์ค์บํ๊ธฐ ์ํ์ฌ ์ฌ์ฉ๋๋ ๋ช ๋ น์ด์ด๋ค.IDT ์ GDT ์ฃผ์, current,idle, ๊ทธ๋ฆฌ๊ณ ๋ค์ ์ฐ๋ ๋๋ค, CPU ์ซ์, ๋ฒค๋&์๋, ๊ทธ๋ฆฌ๊ณ CR3 ๊ฐ๋ค์ ํฌํจํ๋ ๊ฐ๊ฐ์ ํ๋ก์ธ์์ ๋ํ ์์ธํ ์ธ๋ถ ์ ๋ณด๋ค์ ๋ํด ์์๋ณด๊ธฐ ์ํด ์ฌ์ฉํ๋ค. ๋ํ ์ด๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํ๊ธฐ ์ํด profile์ด๋ ๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํด์ผํ๋๋ฐ. profile ์ imageinfo๋ช ๋ น์ด๋ฅผ ์ด์ฉํ์ฌ ์์์๋ค. pslist์ด ๋ช ๋ น์ด๋ ์์คํ ์ ํ๋ก์ธ์ค๋ค์ ๋ณด์ฌ์ค๋ค. PsActiveProcessHead ๋ฅผ ๊ฐ๋ฆฌํค๋ ์ด์ค์ฐ๊ฒฐ๋ฆฌ์คํธ๋ฅผ ์ง๋๊ฐ๋ฉฐ ์คํ์ , ํ๋ก์ธ์ค ์ด๋ฆ, ํ๋ก์ธ์ค ID, ๋ถ๋ชจ ํ๋ก์ธ์ค ID.. For3nsic/The Art of Memory Forensic 2015. 11. 19. ์ด์ 1 2 ๋ค์ 728x90 ๋ฐ์ํ
