포렌식 썸네일형 리스트형 VMware 를 이용한 MBR 디버깅 .vmx파일에 아래 내용을 추가하고 IDA에 연결후 실행중인 프로세스를 연결하여 디버깅을 할 수 있다. debugStub.listen.gest32= "TRUE"debugStub.hideBreakpoints= "TRUE"monitor.debugOnStartGuest32= "TRUE" 가상머신의 프로세서는 1개로 지정한다. 더보기 하드디스크 하드디스크는 한개 이상의 원형 플래터로 구성되어 층층이 쌓여 있는 구조를 보여준다.디스크 내부에는 암(arm)이 있으며 각 플레터 위아래로는 DATA R/W 가능한 헤드가 존재한다. 트랙 : 바깥쪽에 있는 곳이 0 이고 안쪽으로 들어갈수록 커지게 된다.섹터 : 트랙 안에서 나누어지는 가장 작은 저장 단위이다. 각 트랙은 보통 512바이트의 섹터들로 나뉜다.실린더 : 각 플레터 트랙들은 주소가 같기 때문에 플레터를 구분 해주는 주소 개념이다. LBA(Logical Block Address) -> 순차적으로 주소를 할당 더보기 MBR(Master Boot Record) & 파티션 맵 MBR-> 하드디스크의 첫번째 파티션을 생성할 때 만들어 진다. 디스크의 첫번째 섹터에 위치하며 파티션 테이블과 부팅에 필요한 실행파일을 가지게 된다. MBR 레이아웃 ( 512byte )0~445 : 부트 코드446 ~ 461 : 파티션 테이블 엔트리1462 ~ 477 : 파티션 테이블 엔트리 2478 ~ 493 : 파티션 테이블 엔트리 3494 ~ 509 : 파테션 테이블 엔트리 4510 ~ 511 : 시그니처(0xAA55) 부트 코드부분의 값이 지워지거나 변경이 된다면 컴퓨터 부팅시 아무런 반응이 없이 멈춰있게 된다.시그니처 값이 변경되었을때는 사용자에게 Operating System not found 라는 메세지를 보여준다. 더보기 ConText Switch & EPROCESS Context Switch-> 어떠한 ps가 CPU를 사용중인 상태에서 다른 ps가 CPU사용을 할 수 있도록 하기 위해 이전의 ps 상태를 보관하고 새로운 ps 상태를 적재하는 작업이다. 이 작업은 CPU에 많은 부하를 가져다 주는 단점이 있다. EPROCESS 구조체-> 윈도우에서 프로세스의 모든 정보가 들어가 있다. PCB : 커널/유저 CPU시간 등의 정보를 가진다.CreateTime : 프로세스가 시작된 시간 정보를 가진다.ExitTime : 프로세스가 종료된 시간 정보를 가진다.UniqueProcessld : PIDActiveProcessLinks : ActiveProcess List를 구성하는 이중 링크드 리스트이다. 프로세스의 목록을 확인 할 수 있다. System이라는 프로세스는 윈도우 .. 더보기 FTP / TFTP TFTP(TrivialFile Transfer Protocol)이더넷을 이용하여 파일을 송수신하는 프로토콜UDP방식을 사용하여 작은크기의 프로그램에서도 수행이 가능한 장점을 가지고 있다.UDP방식을 사용하기 때문에 단방향 방식을 사용한다. 정확도가 TCP방식보다 떨어지기 때문에 패킷손실이 일어나는 환경에서는 사용을 자제하는것이 좋다.메모리 덤프를 시행 할때 16MB를 초과하면 메모리 덤프파일이 손실될 수 있다. FTP(File Transfer Protocol)컴퓨터들간에 파일을 교환하기 위한 표준 인터넷 규약.TCP/IP 응용프로토콜 중의 하나.TCP방식을 이용하며 Port 21로 listen 하여 요청이 들어오면 응답을 해준다. 더보기 windows 휘발성 정보 date /t & time /t-> 시스템 시간을 확인가능한 명령어 , 커맨드 명령어로 수정할 경우에는 레지스트리에 기록이 남지 않는다. netstat-> 네트워크의 연결 정보를 보여준다. tasklist-> 프로세스 목록을 확인 가능한 명령어. net session-> 로그온 사용자 정보를 보여주는 명령어, 원격 로그온 사용자를 보여주며 local 사용자는 나오지 않는다. net use-> 원격 컴퓨터의 공유폴더 정보를 보여준다. net share-> local network 공유폴더 정보를 보여준다. netstat -b-> open 포트와 프로세스 매핑 정보를 보여준다. netstat -r-> 라우팅 테이블 정보, MAC 의 변조 유무를 파악하기 위해서 사용한다. doskey-> 명령프롬포트에서 어떠.. 더보기 이전 1 다음