완이의 성장 일지

MemoryDumpRAM: 컴퓨터 구조에서 CPU에 전달하기위 위한 임시 데이터들이 저장되는 공간휘발성 데이터이기 때문에 포렌식 수사 관점에서는 이를 비휘발성 데이터로 바꿔 분석 Window Memory dump tool: WinPmemhttps://github.com/Velocidex/WinPmem/releases/ 에서 버전에 따라 설치./winpmem_mini_x64_rc2.exe mem.raw현재 환경은 메모리 크기가 32GB이다하지만 생성된 파일 크기를 확인해보면 35GB이상으로 확인된다실제 컴퓨터가 메모리 레이아웃을 구성할때는 RAM공간 뿐만 아닌 PCI, ROM도 포함한다이러한 자원들을 하나의 가상 메모리 공간으로 만든 것이 Virtual Address Space이다파일 시그니처(File S..

FAT32와 크기 다르지는 않지만 MFT(Master File Table)이라는 별도의 구조를 두어, MFT에 모든 파일의 메타데이터 저장Backup VBR은 볼륨의 맨 끝에 위치하게 하여 복구가 가능하게 하도록 함 이름오프셋설명Jump Command0x0 - 0x2부트 코드로 점프BPB(Bios Parameter Block)0x3 - 0x53볼륨의 전반적 설정부트 코드0x54 - 0x1FD볼륨 부트 코드시그니처0x1FE - 0x1FF고정값 0x55 0xAAOEM ID: NTFSTotal Sectors: 0x3956FDF볼륨의 총 섹터 수Start Cluster for $MFT: 0xC00000xC000으로 MFT 영역으로 연결 Volume Serial Number: 0x4672348672347CAD볼륨..

리틀엔디언- 작은 바이트부터 메모리에 저장하는 방식ex) 0x01234567를 메모리에 저장한다고 하면메모리 주소0x1000x1010x1020x10316진수0x670x450x230x012진수0110 01110100 01010010 00110000 0001NTFS 환경 리틀엔디언 실습VBR(Volumne Boot Record)- 0x0B ~ 0x0C(2byte): Bytes per sector- 0x0D ~ 0x0D(1byte): Sectors per cluster- 0x1C ~ 0x1F(4byte): Hidden sectors- 0x28 ~ 0x2F(8byte): Total sectors분석Bytes per sector: 0x20Sectors per cluster: 0x08Hidden sectors: 0..

본 게시물은 inflearn의 "기초 디지털 포렌식"강의를 통해 학습한 내용을 재현한 과정을 서술하였습니다.Environment실습 파일 대상 : cirdex.vmem (메모리 파일)volatility tool version: 2.6 Command : volatility_2.6_win64_standalone.exe -f ./cirdex.vmem imageinfo"imageinfo" option을 통해서 메모리 덤프 파일에 대한 대략적인 분석을 진행할 수 있다.해당 과정은 분석 실습에 앞서서 꼭 한번은 진행해야할 과정이라 함Suggested Profile 에서 "WinXPSP2x86, WinXPSP3x86" 이렇게 2개를 확인할 수 있는데 해당 정보는 이 file이 생성되었을 것으로 추측되는 환경을 의미한..