만두만두

How to remove Relocation Section?Relocation Section is used for the memory relocation if the memory is already used when binary is loaded in memory.If you would change it, you should remove the data related with Relocation Section.The data to be removed are as follows.The relocation table in Optional Header's data directoryThe relocation stripped flag in File Header's Characteristics 해당 내용이 포함되어..

과제를 너무 열심히 했음

PE 헤더 공부 시, 각 헤더를 구현하기 위해 사용되는 구조체가 혹시 궁금하다면 두 가지 방법정도가 있다. 첫 번째로, MSDN사이트를 이용하는 방법.https://msdn.microsoft.com/ko-kr/library/windows/desktop/ms680336(v=vs.85).aspx두 번째로, 해당 구조체들이 모두 선언되어 있는 헤더파일인, winnt.h를 참조하는 방법. 예를 들어, visual studio에서 대충 아무 곳에 #include를 입력한 뒤, winnt.h에 마우스 우클릭을 시전한 후, 문서보기를 통해 다음과 같이 구조체를 확인할 수 있다.

윈도우 레지스트리란?쉽게 말해서 윈도우에서 시스템을 구성하는데 사용하는 데이터베이스라고 할 수 있습니다. 각 각의 사용자, 응용 프로그램 및 하드웨어에 대한 정보 등 Windows에서 지속적으로 참조하는 설정 정보들이 담겨있어, 사용자가 윈도우를 사용한다는 것은 사용자는 레지스트리와 상호작용을 한다고 볼 수 있습니다.사용자와의 지속적인 상호작용을 하는 만큼 레지스트리는 다양한 많은 정보들을 남기고 있습니다. 이를 통해 조사관들은 수집한 자료들로부터 결정적 증거를 확보할 수 있겠습니다. 먼저 레지스트리는 5개 혹은 6개의 루트 키들로부터 이루어지는 수 많은 서브키들로 이루어져있습니다. 제가 사용하고 있는 윈도우 10 환경 기준으로 설명한다면, 다음과 같습니다.HKEY_USERS(HKU) : 로컬 상에 존재..

DS_STORE 파일이란 Desktop Services Store의 약자로 애플에서 정의한 파일 포맷이다. 애플의 맥 OS X 시스템이 폴더에 접근할 때 생기는 해당 폴더에 대한 메타데이터를 저장하는 파일이다. 윈도우의 thumb.db 파일과 비슷하다. 분석해보면 해당 디렉토리 크기, 아이콘의 위치, 폴더의 배경에 대한 정보들을 얻을 수 있다. 맥 OS 환경에서만 생성 및 사용되지만, 파일을 공유하는 과정에서 이 파일도 같이 공유되는 경우가 있다. DS_STORE 파일이 대부분의 경우 쓸모 없는 파일일 경우가 많겠지만, 포렌식적 관점에서 유용하게 사용될 수 있다고 한다. 유용하게 사용될 수 있는 정보들은 다음과 같다.첫 번째로는 spotlight comment 정보다. mac에서는 파일에 원하는 태그를 ..

파일 시그니처 검색 시 도움이 되는 사이트http://www.garykessler.net/library/file_sigs.html http://forensic-proof.com/archives/300

인코딩 디코딩 사이트 목록 1. http://www.convertstring.com/ko base64 인코딩, 디코딩 / 진수 인코딩, 디코딩 / URL 인코딩, 디코딩 / HTML 인코딩, 디코딩 / 여러 해시2. https://meyerweb.com/eric/tools/dencoder/ URL 인코딩, 디코딩 / (tools 에 가면 재밌는 툴 많음. )3. https://md5hashing.net/hash/ 여러 해시 /4. http://ostermiller.org/calc/encode.html base64 인코딩, 디코딩 / URL 인코딩, 디코딩 / Hex 인코딩, 디코딩5. https://www.hashkiller.co.uk/sha1-decrypter.aspx Online WPA, Hash C..

포렌식 문제들 모여있는 사이트 http://challenge.for-md.org/ http://shell-storm.org/repo/CTF/

Locard's exchange principle 프랑스 과학자인 로카르는 법의학의 선구자로서 "모든 접촉은 흔적을 남긴다."라고 했다. 우리는 이와 같은 법칙이 디지털 영역에서도 적용이 된다는 점( 데이터의 교환 발생 시 항상 그 흔적이 남는다. )에서 착상하여, 디지털 기기에서 여러가지 흔적들을 읽어낼 수 있다. 예를 들어, 데스크탑의 경우라면 레지스트리 키나, 로그파일같은 아티팩트들에서 그 흔적들을 발견할 수 있다. 하지만 , 이런면에서 로카드법칙이 사용되는 면도 있겠지만 다른 의미에서는 수사관에게 항상 주의를 요구한다.데이터의 교환시 흔적이 남는다는 사실은 수사관이 증거를 다룰 때에도 그 흔적이 항상 남는다는 것을 의미하기 때문이다. 대표적으로 라이브 데이터를 수집할 시에, 수사관이 메모리를 캡처..