완이의 성장 일지

본 게시물은 inflearn의 "기초 디지털 포렌식"강의를 통해 학습한 내용을 재현한 과정을 서술하였습니다.Environment실습 파일 대상 : cirdex.vmem (메모리 파일)volatility tool version: 2.6 Command : volatility_2.6_win64_standalone.exe -f ./cirdex.vmem imageinfo"imageinfo" option을 통해서 메모리 덤프 파일에 대한 대략적인 분석을 진행할 수 있다.해당 과정은 분석 실습에 앞서서 꼭 한번은 진행해야할 과정이라 함Suggested Profile 에서 "WinXPSP2x86, WinXPSP3x86" 이렇게 2개를 확인할 수 있는데 해당 정보는 이 file이 생성되었을 것으로 추측되는 환경을 의미한..

#include #include #define MAX 52 int main(){ int N; scanf("%d",&N); getchar(); for(int i = 0; i LEFT){ FLAG = 0; break; } } } if(LEFT == RIGHT && FLAG == 1){ printf("YES\n"); }..

#include #include #define infinite 1000 char input[1000]; int main(){ int N; char stack[21]; char input[1000]; int cnt = 0; scanf("%d",&N); getchar(); for(int i = 0; i = 0;x--){ printf("%c",stack[..

#include #include #define SIZE 10000 int res[SIZE] = {0}; int N; int count = 0; void push(int input){ res[count] = input; count++; } void pop(){ if(count == 0){ printf("-1\n"); return; } printf("%d\n",res[count-1]); res[count - 1] = 0; count--; } void size(){ printf("%d\n",count); } void empty(){ if(count == 0){ printf("1\n"); } else{ printf("0\n"); } } void top(){ if(count == 0){ printf("-1\n")..

시간 복잡도 - 작성한 코드가 동작 시간이 대략 얼마나 걸릴지 예상 - 표기법 Captial O를 사용 ( Big-O ) - Worst case의 경우로 표기 - Big O Notation에서 상수는 버린다 ex) O(3N^2) = O(3N^2) - 두 가지 항이 있을때, 변수가 같으면 큰 것만 빼고 다 버린다 ex) O(N^2 + N) = O(N^2) -단, 두가지 항이 있을시에 변수가 다르면 삭제하지 않는다 ex) O(N^2 + M) C++ 입출력 입출력 코드인 scanf/printf, cin/cout를 사용하는데 보통 cin/cout는 scanf/printf에 비해 느린 편 ios_base::sync_with_stdio(false); cin.tie(nullptr); cout.tie(nullptr);..

악성 코드 분석 방법 분석 방법 설명 Fully-automated analysis (완전 자동화 분석) - 정적 분석 및 동적 분석을 통해 악의적인 행위를 판단 - 자동 분석 수행 - 정확하지 않을 수 있음 Static properties analysis (정적 속성 분석) - 악성코드 추가 분석을 위해 필요한 단계 - String 헤더 정보, Hash value, Resource 정보, Packing 여부 신속하게 정보 획득 - 정보들을 활용해 실행 파일 간의 비교 데이터 베이스 구성 Interactive Behavior Analysis (대화형 동적 분석) - 레지스터리, File system, Process, Network 활동을 이해하기 위해 Virtual Machine에서 분석 - Memory ..

Packer - 실행 파일 압축기 사용 목적 - PE 파일의 크기를 줄이고자 하는 목적 - 파일 soruce code와 resource등을 감추기 위한 목적(Compile 과정에서 stripped와 유사한 느낌) Protector : 리버싱 방지 기법 SOURCE : https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis-2/ 순서 : original source file의 entry point를 OEP라고 하며 packing 된후에는 unpacking stub에 EP가 잡힘 그리고 unpacking 한후에 다시 OEP를 가르킴 Packing를 하면 file size가 커짐 Themida - 지상 최고의 packer

magic code는 linux에서의 ELF 헤더에서 ASCII값이 "ELF"를 확인할 수 있듯이 MS-DOS 헤더는 "MZ"로 식별가능 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // Magic number WORD e_cblp; // Byte on last page of file WORD e_cp; // Pages in file WORD e_crlc; // Relocations WORD e_cparhdr; // Size of header in paragraphs WORD e_minalloc; // Minimum extra paragraphs needed WORD e_maxalloc; // Maximum extra paragraphs needed WORD e..

PE Portable Executable File Format - 윈도우에서 사용하는 실행 파일, DLL 파일 등을 위한 파일 형식 - 윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보만을 캡슐화한 데이터 구조체 Executable File Compile Process Tools 1. PEview 2. PEiD 3. exeinfo 4. pestudio 5. preframe.py 6. Stud_PE

DevOps란? - Development + Operation 의 합성어, 소프트웨어 개발 및 IT 운영의 두 가지 영역 간의 협력과 커뮤니 케이션을 강조하는 문화, 철학, 방법론을 나타냄 주요 특징 1. 자동화 : 자주 반복적으로 해야하는 작업들을 자동화 시켜 효율성을 증가함 2. 협업 및 커뮤니케이션 강조 : 기존 개발에서는 개발팀과 운영팀의 의견갈등으로 인한 문제점을 해결하고자 개방적인 커뮤니케이션을 중시 3. 모니터링 : 시스템을 상태를 상시 모니터링하고, 로그도 기록하여서 빠른 대응 강조 4. 보안 : 개발 초기에 DevSecOps라고도 하여 보안을 중요시함 주요 구성 요소 CI ( Continuous Integration) : 지속적 통합을 뜻하며, 코드의 변경이 이루어질 때 자동으로 빌드 및..