사이버보안15 [메모리포렌식] Volatility (볼라틸리티) 메모리 포렌식에서 대표적으로 사용되는 도구가 volatility이다.크게 2.6버전과 3.0 버전이 사용된다.2.6 버전의 플러그인(명령어)가 많이 지원이 되어 아직까지도 많이 사용된다. 아래의 위치에서 다운을 받을 수 있다.https://github.com/volatilityfoundation/volatility/releases volatility_2.6_win64_standalone.exe --info 위의 명령어를 실해시키면 volatility에서 지원되는 정보를 확인할 수 있다.플러그인은 명령어로 봐도 무방하다. 프로파일프로파일(profile)은 volatility에서 지원되는 OS와 버전이다.버전마다 내부 데이터구조체의 크기와 메모리 위치가 다르기 때문에 지원되는 OS의 버전의 제한이 있는 .. 2024. 9. 7. [Windows Tool] 윈도우 터미널 (Windows Terminal) 윈도우에서 터미널 작업을 하게 되면 보통 cmd.exe 나 Windows PowerShell을 사용하지만,Windows Terminal을 이용하면 편리하다. 구글 검색창에서 Windows Terminal을 검색하면 Microsoft Store가 나오고, 이곳에서 다운을 받아 설치를 하면된다. cmd.exe, Windows PowerShell, Azure Cloud Shell은 기본적으로 제공이 되고,WSL이 설치되면 이것도 지원한다. 설정도 편리하게 할 수 있다. 2024. 9. 7. [법률용어] 친고죄, 반의사불법죄 (의사에 반하여 공소를 제기할 수 없다) ○ 친고죄 : 범죄 피해자 등의 고소가 있어야 공소를 제기할 수 있는 범죄 ○ 반의사불벌죄 : 피해자가 처벌을 원하지 경우 처벌을 할 수 없는 범죄. (예) 의사에 반하여 공소를 제기할 수 없다. 2023. 11. 13. [용어] 사이버렉카 (Cyber Wrecker) 사이버렉카는 자동차사고가 나면 가장 먼저 달려오는 렉카처럼, 확인되지 않은 소문, 단편적인 사실들을 조합해 동영상을 만들어 빠른 시간내에 인터넷에 올려 조회수를 높이는 것을 가리킨다. 2023. 10. 21. [사이버법률] 개인정보 관련 법률 [개인정보 관련 법률] ○ 개인정보 보호법 ○ 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 (정보통신망법) ○ 위치 정보의 보호 및 이용 등에 관한 법률 (위치정보법) ○ 신용 정보의 이용 및 보호에 관한 법률 (신용정보법) ○ 전자상거래 등에서의 소비자보호에 관한 법률 (전자상거래법) ○ 통신비밀보호법 [데이터 3법] ○ 개인정보보 보호법 ○ 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 ○ 신용 정보의 이용 및 보호에 관한 법률 개인정보 관련 법을 공부하기 위해선 다양한 곳에 있는 법률들을 파악하고 있어야 한다. 이와함께 분야에 맞추어 초중등교육법, 고등교육법, 보건의료기본법 등을 살펴봐야 한다. 2023. 9. 10. [윈도우 구조 #7] Sysinternals Suite : 윈도우즈 관리 도구 Sysinternals Tools는 도서 Windows Internals의 저자 중 한 분인 Mark Russinovich가 개발한 윈도우즈 OS를 관리 및 모니터링을 위한 도구입니다. Windows Internals를 공부하면서 Sysinternals Tools를 같이 사용하면 윈도우즈를 이해하는데 많은 도움이 됩니다. AutoRuns, Process Explorer, Process Monitor, WinObj를 많이 사용하였는데, 유용한 도구입니다. File and DiskNetworkingProcessSecuritySystem InformationAccessChk AccessEnum CacheSet Contig Disk2vhd DiskExt DiskMon Disk Usage DiskView EFSD.. 2023. 9. 9. [법률용어] 이유 없다 이유 없다 = 인정할 수 없다 (예) 원고들의 주장은 이유 없다 = 원고들의 주장은 인정할 수 없다 2022. 11. 6. [법률용어] 상당성 상당성 = 타당성 (예) 구속의 상당성이 인정 = 구속의 타당성이 인정 2022. 11. 6. [법률용어] 행위태양 모양 태(態), 모양 양(樣): 모습이나 형태 행위태양 = 행위의 형태 2022. 11. 6. [윈도우 구조 #6] 유저모드에서 커널모드로 접근 유저모드에서 커널 모드로 접근하는 메커니즘에 대해 알아 보겠다. 커널 모드로 가는 방법은 크게 두가지 있다. 두가지로 나누는 가장 큰 이유는 그래픽 관련한 일을 분리하기 위해서이다. 그래픽 관련 작업은 반응이 빨라야 하기 때문에 모든 프로세스가 공통으로 사용하는 ntdll.dll 을 사용하지 않고 별도의 함수를 만들었다. 시스템에 일이 많으면 그래픽 일을 처리하지 못해 화면이 멈출수 있기 때문에 이런 구조를 택한 것이다. 이제부터는 필요할 때마다 WinDbg와 병행하며 설명을 하겠다. 기본적으로 알아야 할 것은 커널 디버깅이기 때문에 ctrl+break를 하면 항상 커널모드로 접근한다. 유저모드로 접근하기 위해서는 다음과 같이 하면 된다. > !process 0 0 ; 접근하기 원하는 프로세스의 정보를 .. 2022. 6. 11. [윈도우 구조 #5] 맥에서 윈도우 커널 디버깅 (Windows Kernel Debugging in Mac) 윈도우 구조 관련 글을 쓰기 시작하면서 WinDbg 커널 디버깅 환경을 구축해야 할 필요성을 느꼈다. 예전에는 윈도우 환경에서 작업을 하였지만, 최근에는 맥으로 작업 환경을 바뀌어서 어떻게 해야 걱정이 앞섰는데 VMware Fusion을 이용한 방법이 있었다. 몇 년 만에 WinDbg 커널 디버깅 환경을 구축 하였다. 1. 기본 환경 구축 ① 맥에서 VMware Fusion을 이용하여 다음의 윈도우를 설치한다. Debugger Windows : 윈도우10 Debuggee Windows : 윈도우 7 ② 윈도우 10에 WinDbg를 설치한다. Windows SDK - Windows 앱 개발 The Windows SDK for Windows 11 contains headers, libraries, and t.. 2022. 6. 8. [윈도우 구조 #4] WinDbg 윈도우 디버거 윈도우를 분석하기 위해 필요한 것 중 하나가 WinDbg이다. WinDbg는 윈도우의 프로그램을 디버깅하기 위해 필요하며, 커널 모드와 유저 모드 둘 다 지원을 한다. 유저 모드야 다양한 디버거가 존재를 하며 특히 Visual Studio 같은 경우는 소스 코드까지 있기 때문에 수월하게 디버깅을 할 수 있다. 하지만 커널 디버깅을 하기 위해선 WinDbg가 있어야 한다. 커널 모드 디버깅은 말 그대로 커널을 디버깅 하는 것이고 사용자 모드의 프로그램도 디버깅 가능하다. 커널 디버깅을 하기 위해선 2대의 컴퓨터가 필요하다. 하나는 디버깅 대상이 되는 시스템이고 다른 하나는 디버깅을 하는 시스템이다. 이 점이 유저 모드 디버깅과 차이가 나는 점이다. 디버깅을 한다는 것은 프로그램이 실행을 중지시키고 그 시점.. 2022. 6. 6. [윈도우 구조 #3] 윈도우 전체 구조 이해 윈도우 전체 구조는 다음과 같다. 어떻게 보면 윈도우 구조는 이 그림을 설명하는 것이다. 그림은 윈도우 2000으로 구조 면에서 크게 변한 것은 없다. 윈도우는 크게 커널 모드와 유저 모드로 나누어진다. 유저 모드에서도 System Process와 Service가 있어 전체 시스템이 안정적으로 동작하도록 한다. 출처: https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/overview-of-windows-components 커널 모드에서 하는 일은 대략적으로 프로세스 관리, 메모리 관리, 디바이스 관리이다. 윈도우에서는 (1) 하드웨어를 직접 제어하는 HAL(Hardware Abstraction Layer) 계층, (2) 실제 운영체제 일을.. 2022. 6. 5. [윈도우 구조 #2] 도서 Windows Internals 지금이야 윈도우, 맥, 리눅스 등과 같이 다양한 운영체제를 사용하고 있지만, 그래도 윈도우는 사람들이 수월하게 많이 사용하는 운영체제이다. 윈도우는 도스 계열과 커널의 안정화를 위해 서버 형태로 개발한 NT 계열이 있다. 윈도우 2000 부터는 NT 계열로 통합 되어 출시 되어 지금의 윈도우 11까지 나왔다. NT 계열 커널 개발을 이야기 할 때 빼놓을 수 없는 사람이 Dave Cutler이다. 윈도우 NT의 아버지라 할 수 있는데 DEC에서 VMS를 개발하다 MS로 와서 새로운 운영체제 개발에 대한 전권을 받고 윈도우 NT의 설계부터 개발을 담당하였다. 그 당시 VMS에서 논의되는 모든 OS의 기술이 총체적으로 NT에 녹아들어 있다. 윈도우를 공부하기 위해 바이블 같은 책은 Windows Interna.. 2022. 6. 5. [윈도우 구조 #1] 윈도우 구조 분석을 시작하며 항상 느끼지만 공부에는 왕도가 없다. 리눅스 커널을 공부하고 다음으로 윈도우 구조를 공부했다. 리눅스를 공부하다가 윈도우를 공부하게 되면 답답한 것이 소스코드가 없어 분석하기 쉽지 않다는 것이다. 그래서 디바이스 드라이버 개발자가 아니면 윈도우는 그저 유저 레벨 프로그램만 개발해야 한다는 생각을 가지기 쉽다. 이럴때 알게 된 것이 Windows Internals 이라는 책이었다. 책의 두께도 놀랐지만 읽으면 읽을수록 담고 있는 정보의 양에 더더욱 놀랐다. 정말 이 책을 많이 읽었다. Windows Internals 책을 보면서 WinDbg로 여러 동작과 값을 확인하였다. MS에서 제공하는 퍼블릭 심볼은 윈도우의 내부를 분석하기에 충분했다. 일단 커널 관련 심볼이 제공되고 유저 모드에서도 시스템 관련 DL.. 2022. 6. 5. 이전 1 다음
