선릉역 1번 출구

코발트 스트라이크 보안 취약점을 점검하기 위한 침투 테스트 도구, 침투 테스트 단계별로 다양한 기능들을 지원함 -> 다수의 공격자가 악성코드 동작 중간에 내부 시스템 장악을 목적으로 사용 목록 기능 Client Teamserver에 접속해 명령을 내리는 주체 Teamserver Listener가 설치된 서버 Beacon 관리 Malleable C2 Profile을 이용한 Beacon 커스터마이징 Webserver 내장 Listener Beacon과 연결되며 C2 서버 역할을 수행하는 모듈 Beacon 공격 기능을 제공하는 Cobalt Strike의 Payload Teamserver에 설치된 Listener와 통신 및 명령 수행 감염 PC에서 백도어로 동작하는 실질적인 악성코드 MITRE ATT&CK 기반..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

휘발성 정보의 종류 물리적 메모리(RAM) 시스템 시간 네트워크 연결 정보 프로세스 목록 핸들 DLL 파일 로그온 사용자 열린 파일 프로세스와 포트 맵핑 커맨드 히스토리 서비스 목록 내부 라우팅 테이블 네트워크 인터페이스 클립보드 라이브 포렌식 대상 파티션 정보 OS 정보 시간대 설정 정보 컴퓨터 모든 계정 정보 PC에 로그온 한 최종 사용자 셧다운 시간 네트워크 인터페이스 정보 응용프로그램 실행 로그정보 사용된 웹브라우저 종류 및 접속 웹사이트/검색 키워드 윈도우 탐색기 검색 키워드 네트워크 드라이브 IP 주소 삭제 파일 etc... 물리적 메모리 증거 수집 덤프 도구 사용 크래시 덤프 이용 크래시 덤프란?: 시스템 오류 발생 시 시스템 오류의 원인 등의 내용을 하드 디스크에 기록한 것 하이버네이션(h..

1. MBR 2. VBR 3. FAT area 4. Directory Entry 5. Real Data 1. MBR 저장매체의 첫 번째 섹터에 위치하는 512 바이트 크기의 영역 446(boot code) + 64(partition table) + 2(signature) = 512 byte 운영체제 부팅 과정 POST(power on self test) -> 저장 매체의 첫 번째 섹터 호출(boot code 수행) boot code: 파티션 테이블에서 부팅 가능한 파티션을 찾아 해당 파티션의 부트 섹터를 호출해주는 역할을 함 = MBR에서 부팅 가능한 볼륨을 찾으면 해당 볼륨의 첫 클러스터를 메모리에 로드시킨 후 실행함 *그렇다면 부팅 가능한 파티션은 4개만 가능? -> 다른 영역에 주 파티션 정보를 기..

디지털 데이터의 특성 비가시성 눈으로 확인하기 어려움 변조 가능성 0과 1로 이루어진 데이터는 쉽게 변조 가능 복제 용이성 쉽게 복제 가능 대규모성 데이터가 매우 방대함 휘발성 내, 외부적 영향으로 데이터가 쉽게 사라질 수 있음 초국경성 인터넷 발달로 인해 데이터의 영향 범위가 국경을 초월 포렌식 범죄 사실의 규명을 위해 각종 증거를 과학적으로 분석하는 활동 디지털 포렌식 범죄 사실을 규명하기 위해 컴퓨터 시스템이나 디지털 장비에서 수집할 수 있는 디지털 증거물을 수집, 보존, 식별, 분석, 기록, 보고하는 활동 디지털 포렌식의 원칙 정당성의 원칙 증거가 적법절차를 거쳐 획득되어야 함 - 위법수집증거배제 법칙: 위법절차를 통해 수집된 증거의 증거능력 부정 - 독수독과: 위법하게 수집된 증거에서 얻은 2차..