학사 나부랭이

Registry 윈도우의 설정, 정보를 담고 있는 데이터 베이스예요. OS가 시작되거나 사용자가 로그인할 때 메모리에 적재되어요. 그리고 제어판 설정, 파일 연결, 시스템 정체, 설치된 소프트웨어 등을 변경하면 그 변경 사항들이 레지스트리에 저장되죠. 원래 이러한 구성 설정을 담는 곳은 각 프로그램의 ini 파일이었는데 이 파일이 시스템의 여러 곳에 퍼져 있어서 관리가 힘들어서 레지스트리라는 개념이 도입되었어요. +)잠깐! ini(INItialization) 파일은 컴퓨터의 프로그램이나 OS의 설정에 대한 파일의 de facto standard, 텍스트로 이루어져있어요. 레지스트리는 키와 값으로 구성되어있어요. 먼저 키는 폴더와 비슷한데 값과 서브키를 가질 수 있고 이 서브키는 또 서브키를 가질 수 있어..

前触れ OS는 명령어가 구동되는 커널, 프로그램의 명령어를 커널에 전달하는 프레임워크, 커널과 프레임워크 위에서 구동되는 UI로 나뉘어요. 부팅은 일반적으로 커널을 로드하고 프레임워크를 실행시킨 뒤 UI를 실행해서 OS를 시동하는걸 일컬어요 Boot loader 시스템의 하드웨어를 초기화(준비)하고 커널을 메모리에 적재(복사)시켜 실행시켜주는 시스템 프로그램이에요. 컴퓨터를 켜면 롬에 있는 BIOS가 로드되고 그 바이오스는 컴퓨터에 연결된 저장매체(HDD, 부팅 USB 등)에서 설정된 부팅 순서대로 부트로더를 불러와요. 만약 HDD가 첫 번째 부팅 장치라면 바이오스는 HDD의 부트 로더를 로드해요. HDD 파티션 정보는 MBR(Master Boot Record)이라는 HDD의 첫 섹터에 있는데 바이오스는..

안녕하세요. 디지털 포렌식에 대해 발표할 인제대학교 돗가비 홍세웅입니다. 오늘 발표는 먼저 포렌식이 무엇인가? 그리고 포렌식의 과정, 거기서 쓰이는 복사기법과 수집기법 그리고 QNA로 구성이 되어 있습니다. 그럼 포렌식이 무엇일까요? 포렌식은 법적인 효력을 가지는, 그러니까 재판에서 사용될 혈흔, 지문, DNA같은 증거를 수집, 보존, 분석하기 위한 응용과학 분야를 칭하는 용어예요. 그럼 당연히 디지털 포렌식은 디지털적인 증거를 수집, 보존, 분석하는 작업을 칭하겠죠? 보통은 삭제된 파일 등을 복구하는 걸 많이들 생각하시는데 사진처럼 GPS 기록을 따오거나 카톡 메시지, 문서 등을 들고 오는 것도 디지털 포렌식의 일종이에요. 이제부터 편의성을 위해 디지털 포렌식을 그냥 포렌식이라고 칭할게요. 우리나라에서..

Live Forensic (Live Response) 시스템의 전원이 켜져 있는 상태에서 Live Data(활성 || 휘발성 데이터, 메인 메모리의 데이터 등)를 수집하는 행위이며 포렌식 조사 과정 중 하나이다. 이는 구동되고 있는 시스템에서 수집 가능한 모든 정보의 수집, 분석, 증거를 기반으로 추측을 객관화하는 작업까지 포함한다. 라이브 포렌식의 중요성 1. 전원을 종료하면 사라지는 활성 데이터를 얻을 수 있는데 이 활성 데이터에는 아래와 같은 데이터가 속해있다. 실행 중인 프로세스 열려있는 파일 목록 네트워크 연결 정보 현재 전송 중인 패킷 현재 로그인 중인 사용자 클립보드에 저장된 데이터 복호화된 데이터 임시파일 기타 2. 수집한 활성 데이터를 우선적으로 평가함으로 시스템의 대략적인 상태를 파악할..

데이터를 수집, 이동, 보관, 분석 등의 과정에서 원본의 변질을 막기 위해 다른 저장매체에 원본과 같은, 혹은 어떤 처리를 한 데이터를 저장하는데 이 작업은 아래와 같은 세 가지 방식이 있다. 저장매체 복사 저장매체 복제 저장매체 이미징 획득 대상 파일, 디렉토리 원본의 모든 물리적 섹터 원본의 모든 물리적 섹터 획득 결과 파일, 디렉토리 사본 저장매체 이미지 파일 동작 방식 원본 읽기, 사본에 쓰기 비트스트림 복제 비트스트림 이미징 데이터 손실 여부 데이터 손실 발생 모든 원본 데이터 획득 모든 원본 데이터 획득 데이터 복구 여부 복구 불가능 삭제된 데이터 복구 가능 삭제된 데이터 복구 가능 모든 물리적 섹터: 탐색기로 확인할 수 있는 파일/디렉터리 구조 외의 슬랙 공간(물리적 구조와 논리적 구조의 차..

포렌식이란? 법적인 효력을 가지는, 범죄수사 및 민형사 소송 등 법정에서 사용되는 증거(혈흔, DNA, 지문 등)를 수집, 보존, 분석을 위한 응용과학 분야를 통칭하는 용어이다. 여기서 디지털 포렌식은 디지털적인 증거 등을 사법기관에 제출하기 위해 데이터 수집, 분석, 보고서 작성 등 일련의 작업(처리)을 칭한다. 사이버 범죄에서 범죄자가 남긴 다양한 디지털 증거를 유용하게 처리하는게 추적 및 조사의 핵심요소이다. 로카르의 법칙 접촉하는 두 개체는 서로의 흔적을 주고받는다. 즉, 어떤 작업을 했으면 그에 대한 흔적은 반드시 현장에 남는다. 해킹과 차이점 해킹은 불법적으로 권한 등을 얻어 정보를 탈취해 악용하는 것이고 디지털 포렌식은 영장이나 소유주의 동의 하에 증거 데이터를 수집 및 분석하는 작업이다. ..

메모리의 주소는 크게 두 가지로 나눌 수 있는데 먼저 Logical address(virtual address)는 프로세스마다 독립적으로 가지는 주소 공간이라서 각 프로세스마다 0번지부터 시작해요. CPU가 참조하는 주소이죠. 그리고 Physical address는 메인 메모리에 실제로 올라가는 위치죠. 이런 프로세스들이 실제로 할당받을 물리 주소는 address binding으로 결정되어요. 주소 바인딩에는 몇 가지 종류가 있어요. Compile time binding 컴파일할 때 물리 주소가 결정되는 주소 바인딩이에요. 프로그램의 물리 주소를 바꾸고 싶으면 다시 컴파일해야 하죠. Load time binding 프로그램의 실행이 시작될 때 물리 주소가 결정되어요. 로더가 메모리 주소를 부여하고 프로그..

0. Pre-processor(전처리기)가 컴파일 전에 코드를 적절한 상태로 처리해요. #로 시작하는 #include 같은 전처리기 구문으로 헤더 파일을 불러오거나 기호 상수를 정의해서 코드 상에 필요한 내용을 먼저 채워주는 역할을 해요. 1. Compiler가 각 소스 파일들을 컴파일해서 .o(obj)파일로 변환하고 2. Linker가 여러 오브젝트 파일을 하나의 오브젝트 파일로 묶어요. 이때 생긴 하나의 오브젝트 파일이 우리가 보는 .exe파일, 실행 파일이에요. 3. 이 파일을 실행시키면 운영체제의 Loader에 의해 메모리에 적재되어요. Compiler 프로그래머가 C등의 문법에 의해 작성한 소스를 기계어로 번역해서 위의 오브젝트 파일에 넣는 역할을 해요. 그리고 각각 소스 파일에 대한 Symbo..