$ 포렌식 $/$ 포렌식 기술적 이론 $
-
Adam7 Algorithm Encoding을 이용한 PNG FILE Steganography Analysis$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:36
SECCON 2019 CTF 에서 아래와 같이 interlace 로 Adam7 Interlace 인 문제를 접했습니다. 그래서 Adam7 Interlace 와 관련된 알고리즘인 Adam7 Algorithm에 대해서 이야기 해보겠습니다. Adam7 Algorithm은 PNG Image 에서 사용 하는 Interlacing 알고리즘 중에 하나로 아래와 같은 7개의 sub image의 형식으로 이미지 출력이 진행됩니다. 이미지의 실질적인 데이터를 다루는 IDAT Chunk의 개수에 비례해서 위의 알고리즘이 몇번 반복 하는 지를 의미 합니다. SECCON 2019 CTF 문제에서는 총 8개의 IDAT Chunk 가 있었고 Chunk가 하나씩 많아 짐에 따라서 점점 구체적으로 픽셀이 입력되는 것을 확일 할 수 있..
-
Image 1bpp, 2bpp LSB Steganography$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 11. 7. 09:33
LSB (Least Significant Bit) 알고리즘 이란? (255, 255, 255) 11111111 LSB 해석 그대로 최하위 비트에 데이터를 은닉하는 스테가노 그래피 방법중 하나 입니다. 설명은 아래와 같습니다. 원본 사진 및 음원파일 즉, 멀티미디어 파일에 메시지를 은닉 시키는데 최 하위 비트인 가장 오른쪽 비트에 은닉을 시켜 둡니다. 그리고 은닉 시킨 데이터는 다시 아래와 같은 방식으로 추출합니다. 이번에는 1bpp , 2bpp 를 이용한 LSB Steganography 를 소개 해드리려고 합니다. bpp란? bit per pixel의 줄인말로 색을 표현 할 때 사용하는 단위 입니다. 기본적인 Image LSB Steganography를 1bpp LSB Steganography 라고 이야..
-
Forensics Analysis of Recycle Bin$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 10. 14. 08:32
팀 데피닛에 들어간 이후로 첫 팀 블로그에 글을 적게 되었습니다. 간단하게 휴지통 포렌식에 대해서 정리를 해보았습니다. https://defenit.kr/2019/10/14/Forensic/%E3%84%B4%20Research/Forensics_Analysis_of_Recycle_Bin/ Forensics_Analysis_of_Recycle_Bin 목차 휴지통 분석의 개요(Recycle Bin) 휴지통이란? 휴지통 분석(Recycle.Bin) Windows XP 휴지통 분석 C:\RECYCLER\\{USER SID} 폴더 찾기 Windows XP에서의 INFO2 file 과 저장되는 파일 이름 INFO2 FILE Structure Analysis Windows 10 휴지통 분석 C:\$Recycl def..
-
디스크 분석을 위한 vmdk 변환 및 가상 이미지 부팅!$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 9. 18. 01:38
포렌식 관련 공부를 하다가 문제로 주어지는 디스크 이미지 파일을 vmdk로 변환해서 VM ware가상 머신에 올리는 작업을 알게 되었습니다. 일단 준비물은 아래와 같습니다. 1. 구동가능한 linux 운영체제 2. qemu 명령어 3. vmdk로 만들 디스크 이미지 파일 먼저 구동 가능한 linux 운영체제로 들어가서 sudo apt-get install qemu를 입력해서 qemu 설치! 그리고 디스크 이미지 파일을 linux 운영체제로 옮겨와서 아래와 같은 명령어를 입력하면 (0.00/100%) 가 뜨면서 vmdk가 만들어집니다. qemu-img convert -pO vmdk [vmdk만들 디스크 이미지 파일 명] [vmdk생성될 파일 명] 위와 같이 (100.00/100%) 가 되면 vmdk가 생성..
-
디렉터리 엔트리 분석 [Directory Entry Analysis]$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 7. 20. 12:06
디렉터리 엔트리는 Windows의 FAT 파일시스템에서 파일의 이름, 확장자, 위치, 크기등을 표현하기 위한 구조체입니다. 하나의 파일 및 디렉터리는 각각의 메타정보를 표현하기 위해 하나의 디렉터리 엔트리를 가집니다. FAT(File Allocation Table) 파일 시스템의 FAT 영역 뒤에 오는 루트 디렉터리을 살펴 보면 최상위 디렉터리에 존재하는 파일들의 디렉터리 엔트리를 확인할 수 있습니다. 파일의 메타 정보를 저장하는 디렉터리 엔트리의 구조는 32바이트 이며 구조는 아래와 같습니다. 위의 파일 구조를 바탕으로 실제 디스크 에서 확인해 보겠습니다. FAT File System Directory Entry - File Name 0x00 ~ 0x07 (8 byte)는 파일이름이 있는 필드 보통 A..
-
썸네일 포렌식(Thumbnail Forensics)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 7. 7. 20:59
썸네일(Thumbnail)은 큰 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것이다. 썸네일은 다양한 응용프로그램에서 사용하고 있지만 사용자가 가장 쉽게 접할수 있는 썸네일은 윈도우 탐색기의 미리보기입니다. 위의 사진이 윈도우 xp 탐색기의 미리보기 입니다. 미리보기는 운영체제의 버전에 따라 조금씩 차이가 있지만 PDF, PPTX, DOCX, HTML, 그래픽 이미지 파일 등등을 지원합니다. 윈도우에서는 썸네일을 생성 후에 데이터 베이스 형식으로 보관합니다. db에 한번이라도 저장된 썸네일은 원본 사진 파일이 삭제가 되도 지워지지 않습니다. 따라서 사용자가 썸네일을 직접 지우지 않는한 썸네일은 데이터 베이스에 계속해서 남아있습니다. 썸네일은 운영체제의 버전에 따라서 크게 2가지..
-
MBR (Master Boot Record)$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 24. 17:52
MBR은 Master Boot Record의 약자로 저장 매체의 첫번째 섹터인 LBA 0에 위치하는 512바이트 크기의 영역입니다. 다음 아래의 그림은 MBR의 기본적인 구조를 보여줍니다. 처음 446byte는 Boot code 영역 이라고 부르고 그다음 64byte는 Partition Table 영역, 2byte는 Signature 영역이라고 이야기 합니다. 운영체제가 부팅될 때 POST(Power On Self-Test) 과정을 거친뒤 저장 매체의 첫 번째 섹터를 호출하는데 이때 해당 부트 코드가 수행됩니다. 만약 부팅할 수 있는 파티션이 없는 경우에 미리 정의해 놓은 에러 메시지를 출력한다. MBR의 각 영역에 대한 범위를 나타낸 표 입니다. 부팅 가능한 주 파티션을 생성한다면 위의 구조에 따르면 ..
-
하드디스크(Hard Disk Drive, HDD) 구조와 작동 원리 및 각종 규격$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 24. 11:46
하드 디스크란? 하드 디스크는 하드 디스크 드라이브 라고도 이야기 하는데 짧게 줄여서 HDD 라고도 이야기 합니다. 하드 디스크는 비휘발성, 순차 접근이 가능한 컴퓨터의 보조 기억장치입니다. 하드디스크에 존재하는 플래터를 회전시켜, 자기 패턴으로 정보를 기록합니다. 우리가 생각하는 대부분의 하드디스크는 다음과 같은 모양을 하고 있습니다. 위의 사진은 하드디스크의 앞과 뒤를 보여주는 사진인데 앞에서 이야기한 플래터를 확인 하기 위해서는 하드디스크의 내부 구조를 확인해야 합니다. 아래 사진을 보시면 하드디스크의 내부 구조가 어떻게 구성되어 있는지 확인 할 수 있습니다. 하드 디스크는 다음과 같이 6개로 구성 되어 있습니다. 전원 커넥터, 데이터 커넥터, 헤드, 액추에이터암, 스핀들, 플래터가 존재 합니다. ..