보안 전공생의 공부

첨부된 파일을 압축해제 해보니 vmdk 파일이 있었다. jonnastudy.tistory.com/37 윈도우 포렌식 도구 사용법 | FTK Imager ( 참조 : m.blog.naver.com/PostView.nhn?blogId=bitnang&logNo=70175434418&proxyReferer=https:%2F%2Fwww.google.com%2F , tutto-forensic.tistory.com/1 ) 포렌식 작업에서 발생할 수 있는 사고 방지를 위해 미.. jonnastudy.tistory.com FTK Imager 툴을 이용해 vmdk파일을 읽어보기로 했다. 파일을 입수한 경로를 찾아보면 찾기 편할 수도? 라는 힌트를 활용해보았다. Users-nonamed-AppData경로까지는 확실하다 생각..

첨부된 파일을 다운받았는데 용량이 컸다 ! 압축풀이를 하다보면 비밀번호를 입력하라는 게 있는데 저기 pw에 있는 문구를 입력하면 된당 압축을 푼 파일에 있는 ad1 파일이 눈에 띈다 jonnastudy.tistory.com/37?category=908721 윈도우 포렌식 도구 사용법 | FTK Imager ( 참조 : m.blog.naver.com/PostView.nhn?blogId=bitnang&logNo=70175434418&proxyReferer=https:%2F%2Fwww.google.com%2F , tutto-forensic.tistory.com/1 ) 포렌식 작업에서 발생할 수 있는 사고 방지를 위해 미.. jonnastudy.tistory.com FTK Imager 툴을 사용해 파일을 읽어보..

첨부된 파일은 다운로드 받고, 압축을 풀면 확장자가 .ad1인 파일 하나가 있다. jonnastudy.tistory.com/37 윈도우 포렌식 도구 사용법 | FTK Imager ( 참조 : m.blog.naver.com/PostView.nhn?blogId=bitnang&logNo=70175434418&proxyReferer=https:%2F%2Fwww.google.com%2F , tutto-forensic.tistory.com/1 ) 포렌식 작업에서 발생할 수 있는 사고 방지를 위해 미.. jonnastudy.tistory.com 의 방법을 이용해 보기로 했다. 악성프로그램을 찾아 파일명과 실행시각을 알아내라하였으므로 일단 악성 프로그램이 유입된 루트를 찾아야한다. 우선 /[root]/Users/use..

첨부된 mandu.png 파일을 다운받아 열어보려고하면 열리지 않는다. 이를 해결하면 풀리는 문제인 것 같다. WindHex 프로그램으로 파일을 헥스단위로 쪼개보았다. PNG 파일의 시그니처가 틀렸음을 찾아볼 수 있다. (PNG 파일의 시그니처는 89 50 4E 47 0D 0A 1A 0A이다.) 시그니처대로 수정하고나서 File-Save as 를 눌러 원래 mandu.png에 덮어씌운다. 덮어씌운 mandu.png를 다시 눌러보면 우왕 성공~!! 쉬워서 급 자신감 뿜뿜하게 만들어주는 기특한 문제... ​

◆ 파일 시그니처(파일 형식) ​ 2장에서 관련된 내용에서 포렌식은 파일확장자가 아니라 파일의 헤도로 파일을 식별한다고 하였다. 각 파일 형식마다 가지고 있는 고유한 특징을 파일 시그니처라고 한다. 손상된 파일을 복구하거나 숨겨진 내용을 파악하는 포렌식의 특성상 이를 자주 활용한다. ​ 시그니처는 헥사코드(16진수)로 구성되어 있고 이는 HxD 프로그램으로 확인할 수 있다. ​ 헤더 시그니처와 푸터 시그니처으로 파일의 형식을 구분지을 수 있다. ​ 어떤 파일의 헤더는 PNG인데 푸터부분이 이상하거나 다른형식(JPG)이면 해당 파일은 조작된 파일임을 예상할 수 있다. ​ (출처 : https://wogh8732.tistory.com/61) File Type Header Signature Footer Sig..