Darkest

윈도우를 사용하면서 가상화 환경이 쓰고싶을때는 보통 Virtual Box나 Vmware Workstation을 사용한다. 또는 정말 간단한 리눅스 환경이 필요하면 이제는 WSL2를 편리하게 사용할 수 있다. 사실 도커도 사용할 수 있지만 필자는 예전에 plaso/log2timeline을 사용하면서 이녀석이 자꾸만 블루스크린을 띄우기에 아직 좀 반신반의한 입장이다. 그런데, WSL과 도커는 윈도우 Hyper-V 위에서 동작한다는데 아래의 '선택적 기능'을 확인해보면 hyper-v가 꺼져있는 것을 확인할 수 있다. 대관절 이게 어떻게 된 일이란 말인가! 그래서 이번에 한번 알아보았다. 이번 포스팅에서는 윈도우에서 이런 가상환경들이 어떤 기능을 통해 제공되는지 한번 정리해보도록 하겠다.윈도우+r 키를 눌려 ..

웹해킹에 관신있는 독자들이라면 OWASP(Open Source Web Application Security Project)를 한번은 들어보았을 것이다. 말 그대로 오픈소스 보안과 관련된 전문적인 분석내용과 교육 내용들을 지원하는 프로젝트인데, 이 중에서 Top Ten과 Juice Shop이라는 두 개 프로젝트가 굉장히 유용하지 않을까 싶다. OWASP TOP 10https://owasp.org/www-project-top-ten/  OWASP Juice Shophttps://owasp.org/www-project-juice-shop/  Top 10은 공격자들이 많이 사용하고, 또 그만큼 치명적인 상위 10가지 취약점에 대해서 다루고 있다. Juice Shop은 이 10개 취약점들을 실제로 테스트 해보고 ..

지난 포스팅 이번 포스팅에서도 MBR에 대한 포스팅을 계속 해 보겠다.지난시간에 MBR과 관련된 중요한 내용들은 거의 설명했다. 다만 아직 VBR(Volume Boot Record)이라는 녀석이 남아있기에 이번에는 이녀석을 짚고 넘어가보고자 한다. VBR(Volume Boot Record) 지난 시간에 우리는 MBR이 무엇인지, 이것이 어디에 위치하는지, 또 MBR 데이터를 어떻게 분석하는지에 관해 얘기해보았다. MBR에 대한 내용들을 잊지 않길 바라며 이번에는 디스크 내부에 존재하는 논리적인 영역인 파티션으로 들어가보겠다.     들어가기 전에 전체적인 개요를 다시 한번 설명해보자면 위 그림과 같다. (정확하게는 조금 다르긴 하지만, 이는 나중에 설명하겠다)  우리는 Disk와 Partition을 구분..

컴퓨터를 다루다 보면 MBR과 GPT라는 용어를 가끔 보게 된다. MBR이라는 것은 Master Boot Record 의 약자로, 바로바로 컴퓨터 부팅과 매우 밀접한 관계를 갖고있다. 참 이것을 설명하려면 추가적으로 설명해야하는 지식이 많은데, 다 설명을 해야할까 하는 고민을 했었다. 하지만 이것에 대해 깊게 이해하려면 어느정도의 배경 지식은 필요하다는 생각이 들어 한번 전체적인 배경지식을 쭉 설명해 보겠다. 1. 컴퓨터의 발전.. 자 여러분들은 컴퓨터 부팅이 어떻게 이루어지는지 아는가? 오늘날 컴퓨터는 우리 일상생활에 뗄레야 뗄 수가 없는 말 그대로 우리 삶을 좌우하는 장치라고 봐도 과언이 아닐 것이다. 랩톱, 태블릿, 노트북, 워치, 티비, 냉장고, 서버, NAS 등 평소에 별 생각이 없다가도 얼마나..

예전에 한창 파티션과 볼륨의 개념에 대해 헷갈린적이 있었는데, 갑자기 생각나서 정리해보려고 한다. 디스크와 파티션 그리고 볼륨 컴퓨터를 사용하면서 디스크, 파티션, 볼륨이라는 용어를 참 자주 접하게 된다. 그런데 항상 애매하게 헷갈리는것이 또 이런 용어인 것이다.정확하지는 않을 수도 있지만 한번 정리해보고자 한다.  1. 디스크디스크는 물리적인 개념이라 할 수 있다. HDD 하나, SDD 하나, USB 하나 뭐 이런식으로.실제로 윈도우 운영체제에서 diskpart를 실행한다음 list disk 명령을 실행하면 다음 결과를 확인할 수 있다. 현재 필자의 노트북에는 1TB SSD 하나가 창착, 16GB USB 하나가 마운트 되어있다.따라서 2개의 디스크를 확인할 수 있다. 2. 파티션 파티션은 논리적인 개념..

데이터의 생성과정에 따른 증거 분류앞서 우리가 다루었던 컴퓨터 저장장치에 생성되는 정보의 분류에 대한 논의를 해보고자한다. 컴퓨터에서 생성되는 데이터는 크게 2가지로 구분지을 수 있다. 글을 작성하다보니 데이터 증거 이 두 단어를 섞어쓰는 경향이 있는데 이 글에서는 같은 의미로 생각해주면 좋을 것 같다. 1. 컴퓨터가 생성한 데이터 컴퓨터가 생성한 데이터 또는 컴퓨터에 의해 생성된 데이터, 즉 사람이 인위적으로 생성한 데이터가 아니라 컴퓨터가 정해진 로직에 따라 동작해 스스로 생성한 데이터를 일컫는다. 예를 든다면 보안에 관심있는 여러분들이 본다면 어디선가 한번쯤 들어보았을 만한 데이터들 윈도우 시스템으로 예를든다면 이벤트 로그, 점프리스트, 프리패치, 웹로그, 입출금 기록, 통화 기록 등이 되겠다. ..

아티팩트 분석글을 연재하기 전에 디지털 포렌식이란 무엇이고 어떤의미가 있는지 간단하게만 설명하고 넘어가려 했는데 생각보다 말이 길어지는 것 같다. 그래서 이번 포스팅에서 이런 이론적인 내용은 마무리하고 넘어가려고 한다. 그리고 나중에 기회가 된다면 실제 판례를 한번 가져와보는 것도 재밌지않을까 하고 생각하고 있다. 디지털 증거는.. 디지털 증거는 '전자증거', '전자적 증거', '전자기록', '컴퓨터 관련 증거' 라고 불리기도 한다. 다만 이제는 IOT가 너무나도 활성화된 시대에서는 '컴퓨터 관련 증거'라기 보다는(사실 전자쟁이적 관점에서는 소형 컴퓨터가 맞긴 하다) '전자 증거' 또는 '디지털 증거' 라고 부르는게 좀더 자연스럽지 않을까 한다. (* 개인적인 의견입니다.) 자 그럼 이 '디지털 증거' ..

앞선 포스팅에서 디지털 포렌식이란 '증거'에 대해서 다루며 증거에는 어떤 종류가 있는지 논의해보았다.  증거 수집과정이 적법했는지 또는 무결성이 훼손되었는지 여부에따라 수집한 증거의 '증거 능력'이 사라질 수도 있다고 얘기했다.  또 디지털 데이터는 전문 증거가 될 수도있고, 본래 증거가 될 수도 있으며 직접 증거 또는 간접 증거가 될 수도 있을것이다 라고 얘기했었다.  이번 포스팅 에서는 이 각각의 카테고리가 어떤의미가 있고, 어떤 효력이나 힘을 가지는지 한번 얘기해보고 싶다.. (사실 정확하게 기억은 안납니다.. 그냥 이런 내용들이 있구나 해주셨으면 좋겠습니다. 오류 수정이나 태클은 언제나 환영) 전문증거란... 전문증거(傳聞證據, hearsay evidence)는 말 그대로 직접 어떤방법으로 전해진..

증거란... 앞선 글에서 디지털 포렌식이란 무엇인가에 대한 내용들을 얘기 해 보았다.아마도 가장 중요한 문장단어라면 '증거 능력'이 아닐까 싶다.그런데 이러한 증거에도 종류가 있다는 사실을 독자 여러분들은 알고 계실까? 증거라는 실체가 있을수도, 없을수도 있는 어떤 개념이 법적인 쟁점을 다룰 때 어떻게 논의되는지 어떻게 정리해야 할지는 잘 모르겠다. 정리한 후 법을 전공한 친한 동생에게 자문을 구해보겠지만, 만약 독자분들 중에 법에 정통한 독자가 있다면 오류를 수정해주면 정말 감사하겠다. 일단 형사 사건에서는 증거라는 개념을 두고 정말 여러가지로 다루고 있다. 이래저래 찾아보니 13 가지 정도 확인이 되는데, 이것 외에 더 구분하는 용어가 있을지도 모르겠다. 천천히 설명 해 보겠다. 다음은.. 내가 찾아..

1. 포렌식이란..포렌식이란 무엇인지에 대해서 제일 먼저 얘기해봐야 할 것 같다.사실 이럴 때면 난 위키피디아를 정말 애용한다 :) 적당하게 내가 알고 싶었던 것들, 그리고 말하고 싶었던 것들이 잘 정리되어있다는 느낌이라고 할까 긴 설명 중에 중요한 문장들이 몇 개 보이는데 바로 다음과 같다.법과학(Forensic science), 또는 범죄학(criminalistics)은 과학 원리와 방법을 적용하여 형사 및 민사 법률 문제에서 법적 결정을 지원하는 학문이다.특히 형사 수사에서는 증거의 허용 가능성과 형사 절차의 법적 기준에 따라 진행된다. 법과학은 DNA 분석, 지문, 혈흔 패턴, 화기, 탄도학, 독성학, 현미경 및 화재 잔해 분석 등 다양한 실무를 포함하는 넓은 분야다.즉 요약하자면 법적인 문제가 ..