kevin의 정보보안 블로그 kevin의 정보보안 블로그

디지털포렌식 증거 능력 요건1. 진정성- 분석하는 증거가 사건과 직접적인 연관이 있는가2. 원본성- 수집된 증거의 원보늘 제출해야함3. 무결성- 수집•제출•이관 중 원본 데이터에 대해 변형을 주면 안됨- ideal : 훼손될 경우 증거로서의 가치 X- reality : 컴퓨터는 켜져있는 매순간 데이터가 새로 씌어지며 변형됨. 하지만 서버와 같은 시스템에 대해 포렌식을 진행할 경우 시스템을 OFF 한 상태로 수집을 못하기에 현실적으로 무조건적으로 지키기는 힘듬- 무결성을 왜 지킬 수 없었는지에 대해 체계적으로 문서화 할 경우 인정 받을 수 있는 경우가 존재4. 신뢰성 - 기관, 사람, 도구- 여기서 도구는 특정 브랜드를 의미하지 않음(예: EnCase, DFAS 등등 상관 X)* 재현의 법칙 : 반복적으로..

지정 기준인력 요건 : 기술인력 10명 이상 보유(고급 또는 특급 인력을 3명 이상 포함)자본 요건 : 기업 제무제표의 자본 총계 10억원 이상설비 요건 : 신원 확인 및 출입통제를 위한 설비, 업무를 수행하거나 지원하기 위한 설비, 정보보호컨설팅 관련 기록 및 자료를 안전하게 관리하기 위한 설비 보유업무수행 능력요건 : 업무 수행능력 심사에서 기준 점수(70점) 이상 획득규정 요건 : 정보보호 전문서비스 관리규정 보유 및 준수자세한 사항은 정보보호산업진흥포털 참고

문제설명소스코드풀이 이번 문제의 경우 비트 연산을 통해 나온 결과 값을 다시 초기 상태로 되돌려 해당 값 입력을 통해 FLAG를 획득하는 문제이다. 소스코드 수행으로 생성된 문자열은 사진에서 볼수 있듯이 1_c_3_c_0__ff_3e 이다. 소스코드 부분에 주석을 통해 코드를 설명한 상태이지만 다시한번 설명하면 아래와 같다. 코드 설명 초기 값을 세팅하는 단계이다.  org 값에 대한 연산이 수행되어 이를 현재의 결과 값인 1_c_3_c_0__ff_3e 이 출력되게 하는 단계이다. org의 값이 82라 하자.이를 2진수로 변환할시 01010010이된다. i = 0 일때, 0만큼 쉬프트 연산이 수행되기에 0101 0010에 대해 우측 쉬프트를 할 시 그 값은 0101 0010이다.( >> X : X의 값 ..

MFTNTFS 파일 시스템의 가장 핵심적인 부분MFT는 파일에 대한 메타 데이터를 저장파일명, 크기, 생성/수정/접근 일자, 속성 등LiveResponseCollection 툴을 이용해서 추출 가능하며 MFT만 추출 원할 시 FTKImager 사용을 통해서도 추출 가능분석을 위해서 analyzeMFT 툴 이용 프리패치실제 파일이 생성되기 전에 생성되는 파일.pf 확장자를 가짐침해사고 조사 시 최초 실행된 시간을 조사하기 위해 사용MFT에서 확인 한 pf 파일의 Creation Date에 -10 초를 해야 최초 실행 시간여기서 -10 초의 이유는 파일 실행 후 약 10초간의 모니터링 진행 후 프리패치 파일이 생성되기 때문최근 HDD에서 SSD 사용 추세로 넘어가며 사용을 안하는 경우 존재Service에서 ..

프로세스 이상징후 식별 방법일반적이지 않은 경로와 이름을 사용하여 실행되는 프로세스가 존재하는가?Good :C:\WindowsC:\Windows\System32C:\Program Files, C:\Program Filles(x86)Bad :C:\Users\user\App Data\Local\Temp\임시 파일로 일반 적인 경로는 아님=리니지 분석리니지 분석프로세스의 부모 자식 관계가 일반 적이지 않은가?Services - svchost.exe (O)explorer.exe - cmd.exe (O)cmd.exe - powershell.exe (O), explorer.exe - powershell.exe (O)word.exe - cmd.exe - powershell.exe (X)explorer.exe - sv..

이번 문제의 경우 알파벳 소문자 혹은 숫자를 포함하는 4자리 랜덤 문자열 및 100 이상 200 이하의 랜덤 정수 비밀번호, 즉 두 값을 맞게 입력하여 FLAG를 획득하는 문제이다. [문제 해결]1. 서버 접속접속 시 사물함 번호, 자물쇠 비밀번호 두 값을 입력해야 하는 것을 알 수 있다. 이때 랜덤 값 두개를 입력 후 확인 시 아래와 같은 결과를 확인 할 수 있다.   문제 파일을 분석해본다. 2. 문제 파일 분석 1번 - locker_num 및 password 파라미터에 입력된 값을 locker_num, password 변수에 저장한다 2번- 조건문으로 조건 충족 여부를 확인한다- 조건은 다음과 같다:1. locker_num 변수가 빈 값이고2. rand_str 배열에 랜덤하게 생성되어 대입된 값과 ..

이번 문제의 경우 알맞은 id와 pw를 입력하여 FLAG를 획득하는 문제이다. [문제 해결]1. 서버 접속 접속 시 ID와 PW를 입력하는 부분을 확인 가능하다. 제출 버튼을 클릭 시 POST 요청을 통해 /check.php 파일이 동작하는 것을 확인 할 수 있다.  코드 확인을 위해 문제 파일을 다운로드 후 분석을 진행한다. 2. 코드 분석코드를 확인 시 중요 부분은 2가지로 확인된다.  $characters에 저장되어 있는 0~9, a~z, A~Z 문자열을 랜덤 함수를 통해 랜덤하게 총 10자리까지 $randomstring에 저장한다.  위 그림의 빨간 박스를 확인 시 생성된 id 및 pw를 입력된 값과 비교하는 코드를 확인 할 수 있다. 이때 주목해야 할 부분은 입력 받은 id(input_id)와 ..

이번 문제의 경우 Union Based SQL Injection 공격을 통해 FLAG를 획득하는 문제이다. [문제 해결]1. 문제 서버 접속 윗 부분에 로그인 시 어떠한 쿼리를 이용하는지에 대한 쿼리문이 적혀 있다. 이를 참고하여 SQL Injection 공격을 시도해본다.  로그인 검증을 우회하는 SQL Injection 구문을 사용하였고 그 결과 현재 db에 저장되어 있는 모든 user들의 id가 노출된 것을 확인 하였다. 이 공격을 통해 알 수 있는 사실은 해당 웹페이지가 SQLI 공격에 취약하다는 사실이다. 2. Union Based SQLI(컬럼 수 확인)Union Based SQLI 공격에서 가장 중요한 점 중 하나는 컬럼의 수와 데이터 타입을 일치시켜야 한다는 것이다. 만일 일치하지 않는 다..