MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
2020.01.22[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/78?category=760574 MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 ..
[Ubuntu] phpmyadmin 설치
[Ubuntu] phpmyadmin 설치
2020.01.22필자의 환경 Ubuntu 16.04 (Vmware) # apt-get update # apt-get install phpmyadmin phpmyadmin 패키지를 설치해준다. # vi /etc/apache2/apache2.conf Include /etc/phpmyadmin/apache.conf 마지막줄에 위 Include 부분을 추가해 준다. # service apache2 restart 아파치 재시작. http://localhost/phpmyadmin 위 사이트를 들어가 사용한다.
[Ubuntu] Cloud9 설치하기
[Ubuntu] Cloud9 설치하기
2020.01.21Ubuntu에 Cloud9 설치하기. 필자의 조건 Ubuntu 16.04 # apt-get update # apt-get upgrade # apt-get install git Git 설치 # git clone https://github.com/c9/core.git [저장폴더] ex) git clone https://github.com/c9/core.git c9sdk Git 으로 Github에서 Git을 받아옴. # cd c9sdk # apt-get install nodejs-legacy # cd scripts # ./install-sdk.sh 설치 끝. # node server.js -w [WorkStation 경로] -a [ID]:[Password] -p [Port] ex) node server.js ..
[OS] Pintos - BusyWaiting 해제
[OS] Pintos - BusyWaiting 해제
2020.01.21Pintos를 처음 설치하게 되면 현재 스레드가 devices/timer.c의 timer_sleep() 함수를 호출하면 지정 Tick동안 While문이 계속해서 thread_yield()를 호출하면서 CPU를 점유하지 않는 모습을 보여준다. void timer_sleep (int64_t ticks) { int64_t start = timer_ticks (); ASSERT (intr_get_level () == INTR_ON); while (timer_elapsed (start) < ticks) thread_yield (); } 이정도의 소스는 다들 이해 할수 있다고 생각하기때문에 더욱 자세한 설명은 생략하도록 하겠다. 현재 스레드가 CPU를 점유 하지 않기 위해서 CPU를 점유해야하는 모순된 모습을 보여..
[Ubuntu] 포트포워딩 방법
[Ubuntu] 포트포워딩 방법
2020.01.21sudo iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 5000 -j ACCEPT 메모장 @reboot node /home/pental/c9sdk/server.js -l 0.0.0.0 -p 3333 -a id:pw -w /home/pental
[OS] Busy Waiting 정의
[OS] Busy Waiting 정의
2020.01.19Busy Waiting 이란 무엇일까? 바쁜대기라고 불리움. OS에서는 원하는 자원을 얻기 위해 기다리는 것이 아니라 권한을 얻을 때까지 확인하는 것을 의미한다. CPU의 자원을 쓸데 없이 낭비하기 때문에 좋지 않은 쓰레드 동기화 방식이다. 쓰레드의 동기화를 위해서 Busy Waiting Method를 사용할 것이 아닌, 뮤텍스 세마포어(Mutual Exclusion) 또는 Monitor를 사용해야 한다고 알려져 있다. 뮤텍스 세마포어(Mutual Exclusion) 또는 Monitor 방법의 경우 CPU가 계속해서 쓸데없이 무한 루프를 돌면서 확인하는게 아닌, 어떤 쓰레드가 공유 자원을 획득한 경우 다른 쓰레드는 그 쓰레드는 공유 자원을 모두 사용할 때 까지 기다린다. 또한, 쓰레드가 공유자원을 모두 ..
[OS] Pintos 설치하기
[OS] Pintos 설치하기
2020.01.16필자의 환경조건 ) Ubuntu 14.04 x86버전. 필자만 잘 따라하면 좋은 결과를 얻을 수 있을 것이다. make 부분에서 오류가 나지 않으려면 gcc를 제대로 설치해야한다. $ sudo apt-get install g++ xorg-dev ncurses-dev vim $ sudo apt-get install gcc-4.4 $ sudo mv /usr/bin/gcc-4.4 /usr/bin/gcc 위 세가지 소스코드를 확실히 실행시켜야 한다. 자신이 원하는 위치에 dir를 하나 생성하고 pintos 파일을 받아온다. $ cd / $ sudo mkdir temp $ wget http://www.stanford.edu/class/cs140/projects/pintos/pintos.tar.gz $ tar xz..
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
2020.01.16[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/77?category=760574 MAGNET Axiom - User Guide (Korean) #2 증거 선택 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 중요한 단계만 보려..
MAGNET Axiom - User Guide (Korean) #2 케이스 정보 & 증거 소스
MAGNET Axiom - User Guide (Korean) #2 케이스 정보 & 증거 소스
2020.01.15[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. Magnet Axiom Process 프로그램을 실행해준 초기 모습이다. Magnet AXIOM Process를 통해 포렌식 이미지를 수집하고 동일한 인터페이스에서 해당 이미지를 모두 스캔할 수 있다. 스캔을 구성하고 시작하기 전에 수집이 완료될 때까지 기다릴 필요가 없으므로 시간을 절약할 수 있는 장점이 있다. Magnet AXIOM Process는 다양한 종류의 이미지와 장치에서도 스캔을 실행할 수 있다. Magnet AXIOM Process가 처리한 모든 증거는..
MAGNET Axiom - User Guide (Korean) #1 툴 소개 & 요구 사항
MAGNET Axiom - User Guide (Korean) #1 툴 소개 & 요구 사항
2020.01.13[ MAGNET Axiom - User Guide (Korean) ] 오늘은 Magnet Axiom의 User Guide 입니다. (Reference : Magnet Axiom Korean User Guide) Magnet Axiom은 디지털 포렌식 수사 플랫폼이다. 하나의 컴퓨터에서 컴퓨터, 스마트폰, 클라우드 등 데이터를 수집하고 처리하는 유일한 플랫폼이라고 소개되어있다. Magnet Axiom은 아래와 같은 항목을 지원한다고 한다. 1. 대부분의 소스에서의 데이터 복구 (아마 카빙 기법이라고 추측) 2. 더 좋은 조사 시작점을 제공하여 아티팩트로 드릴 다운 (더욱 체계적인 분석으로 아티팩트 결과를 제공) 3. 주요 증거를 신속하게 찾음 (필자가 해본 결과 일반적으로 CLI를 통해 Volatility..
MAGNET Axiom - Memory Forensics #2 클립보드(Clipboard)
MAGNET Axiom - Memory Forensics #2 클립보드(Clipboard)
2020.01.12필자는 Magnet Axiom 사용법에 대해서 정리해 보려고 합니다. 메모리 파일은 "GrrCoN 2015" 문제 파일을 사용하도록 하겠습니다. 메모리 파일 다운로드는 http://ctf-d.com 의 Memory 파트에서 다운받으실수 있습니다. 필자는 Magnet Axiom의 사용법도 모르면서 그냥 막 사용중입니다. 사실 필자의 목표는 Magnet Axiom 의 사용법을 터득하는거입니다. 틀린점이 있더라도 그냥 봐주세요 :) 먼저 Clipboard입니다. 클립보드 메모리 포렌식은 사용자들이 클립보드에 복사해둔 메모리에 대해서 분석하는 것입니다. 먼저 필자는 https://blog.system32.kr/74 포스팅에서 나온것처럼 메모리 덤프파일을 분석을 했습니다. MAGNET Axiom - Memory ..
MAGNET Axiom - Memory Forensics #1
MAGNET Axiom - Memory Forensics #1
2020.01.12[ IOS Forensics with MAGNET Axiom #4 Memory Forensics ] 오늘은 메모리 포렌식에 대해서 포스팅을 해보려고 합니다. 메모리 파일은 "GrrCoN 2015" 문제 파일을 사용하도록 하겠습니다. 메모리 파일 다운로드는 http://ctf-d.com 의 Memory 파트에서 다운받으실수 있습니다. 필자는 Magnet Axiom의 사용법도 모르면서 그냥 막 사용중입니다. 사실 필자의 목표는 Magnet Axiom 의 사용법을 터득하는거입니다. 틀린점이 있더라도 그냥 봐주세요 :) 먼저 필자는 케이스의 정보를 입력해주었습니다. 증거소스로는 컴퓨터 / Wdinwos / 메모리 / 메모리 덤프파일을 선택해 주었습니다. 메모리 덤프파일을 불러오니 자동으로 프로파일을 선택할지 아..
[ CTF-d ] GrrCON 2015 #2
[ CTF-d ] GrrCON 2015 #2
2020.01.12https://blog.system32.kr/72 [ CTF-d ] GrrCON 2015 #1 프로세스 중에서 OUTLOOK.EXE 프로세스를 덤프한다. 메모리 덤프가 가능한데 Memory Dump 파일에서 이메일을 추출하면된다. grep 기능을 통해서 @naver.com / @daum.net / @hanmail.net / @gmail.com 을 검색한.. blog.system32.kr 이 글과 마찬가지이다. grep 기능을 통해서 exe를 추출보자. 추출 결과 이메일에서는 Hello Mr. Wellick, In order to provide the best service, in the most secure manner, AllSafe has recently updated our remote VPN so..
[ CTF-d ] GrrCON 2015 #1
[ CTF-d ] GrrCON 2015 #1
2020.01.12프로세스 중에서 OUTLOOK.EXE 프로세스를 덤프한다. 메모리 덤프가 가능한데 Memory Dump 파일에서 이메일을 추출하면된다. grep 기능을 통해서 @naver.com / @daum.net / @hanmail.net / @gmail.com 을 검색한 결과 @gmail.com만 작동했다. flag : th3wh1t3r0s3@gmail.com 자세한 풀이는 아래 링크를 참고하도록 하자.
MAGNET Axiom - IOS Forensics #3 채팅 분석
MAGNET Axiom - IOS Forensics #3 채팅 분석
2020.01.09채팅분석 #1 - iOS iMessage/SMS/MMS 분석입니다. 2020-01-09 필자는 100% 검사를 대략 2시간만에 완료했습니다. (아이폰6) 아티팩트를 살펴 보니 18,446개의 증거파일이 존재한다고 합니다. 먼저 채팅관련부분을 살펴보겠습니다. 채팅 관련 부분에서는 IOS IMessage/SMS/MMS 등을 파악할수 있었습니다. 먼저 범주로는 보낸사람, 메시지, 메시지 보낸 날짜/시간, 받는사람, 유형, 상태, 메시지 배달 날짜/시간, 메시지를 읽은 시간, 첨부파일, 첨부파일 복구됨, Sent By Siri, 소스, 복구방법, 삭제된 출처, 위치 등을 파악할수 있습니다. 자세히 알아보도록 하겠습니다. 1. 보낸사람 : 즉 말그대로, 보낸사람의 이메일 명 또는 전화번호를 표시합니다. 2. 메시..
MAGNET Axiom - IOS Forensics #2
MAGNET Axiom - IOS Forensics #2
2020.01.07이어서 작성하겠습니다. 이미지 빌드 경과 10분후 이미지 해시 계산으로 넘어갔습니다. 이미지 해시 계산이 완료되니 MAGNET Axiom Examine으로 자동으로 넘어가졌습니다. 자동으로 검색이 진행중이고, Examine으로 분석이 가능합니다. 증거 처리가 되고 있는 상황을 확인할 수 있습니다. 케이스 대시보드에는 케이스 개요, 증거 개요 등이 있습니다. 컴퓨터 사양이 딸려 일단 잠시 멈추고 분석하겠습니다. 미디어 옵션으로 들어가면 833개의 미디어가 검출된것을 확인할 수 있습니다. 하지만 아직 8%여서 그런지 제가 다운 받아논 사진은 보이지 않습니다. 미리보기와 세부 정보를 지원합니다. 파일 이름, 확장자, 마지막 수정 날짜, 크기, MD5, SHA1 을 알려주고 있습니다. /Library/Mobil..
MAGNET Axiom - IOS Forensics #1
MAGNET Axiom - IOS Forensics #1
2020.01.07기회가 되어서 마그넷 회사의 axiom 디지털 포렌식 툴을 사용하게 되었습니다. 늘 감사드립니다. 필자는 진행 중이던 분석이 없으므로 새로운 케이스를 만들어 줘야 합니다. 케이스 번호, 케이스 유형, 케이스 파일 저장 위치 등등을 입력할 수 있습니다. 필자는 새로운 케이스를 생성해 줬습니다. 증거 소스를 선택해 줘야 합니다. 증거 소스로는 컴퓨터, 모바일, 클라우드가 있습니다. 클라우드는 어떤 기능을 가지고 있을지,, 필자는 항상 궁금했습니다. Magnet Axiom ios forensics을 꼭 한번 써보고 싶다. 이번에 기회가 되어 어서 빠르게 분석해보겠습니다. (필자는 아이폰을 포렌식 할 거여서 모바일을 선택했습니다.) 증거 로드, 증거 인식, GRAYKEY에 연결 기능이 있습니다. GRAYKEY에..
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
2019.12.20아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다. DB Browser for SQLite (https://sqlitebrowser.org/) 먼저 ifunbox를 통한 아이폰 Safari 포렌식이다. http://www.i-funbox.com/ iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch. iFunbox-Store iFun..