전체 글 (41) 썸네일형 리스트형 MBR(Master Boot Record) Partition Structure Analysis 이번에 분석 해볼 파일은 물리적인 저장 장치에서 확인 할 수 있는 영역인 MBR 파티션 영역 입니다. 최근에는 HDD 라고 불리는 하드디스크 뿐만 아니라 솔리드 스테이트 드라이브 라고 불리는 SSD 가 생겨났습니다. SSD의 등장에 따라서 디스크의 용량이 증가 함에 따라서 MBR의 한계점이 생기게 되었습니다. 그래서 MBR이 다룰수 있는 용량의 제한으로 인해서 MBR 대신 GPT(GUID Partition Table) 라고 불리는 영역이 생기게 되었습니다. 이번 포스팅에서는 MBR 만 다루고 다음 포스팅에 GPT를 자세히 다뤄 보겠습니다. MBR은 Master Boot Record 의 약자로 저장매체의 첫번째 섹터인(0번섹터)에 위치하는 512바이트 크기의 영역입니다. 저장장치의 구조를 한번 살펴 보면 .. HDCON Track 1 write up (1) 사건의 원인? 첨부된 vmware 파일을 열어서 확인해 보면 default 경로에 아래와 같이 숨겨진 파일들이 엄청 많은 것을 확인 할 수 있다. 이런 파일 중에서 .viminfo 파일이 눈에 보입니다. .viminfo 파일이란 vim을 사용했을때 작성되는 일종의 log 파일을 의미합니다. 해당 파일에는 vim 을이용해서 수정하고 작업을 했던 파일의 로그 파일 형식처럼 작성이 됩니다. 해당 파일을 열어보면 매우 방대한 내용이 들어있습니다. 여기에 적혀있는 파일들을 정리해 보면 아래와 같습니다. 위의 경로를 확인해 본 결과 /root/ 는 접근이 불가능 했고, /var/www/html/test.html 파일은 존재 하지 않았다. wordpress 와 관련 있는 파일들을 자세히 봐야 할것 같다. 그중.. WhiteHat 2015 write up 1. 박부장 PC의 문서를 암호화한 랜섬웨어 파일은 무엇인가요?(전체 경로) 문제 파일을 받아서 압축을 해제해 보면 DISKDUMP.vmdk 파일과 MEMDUMP 파일이 존재 합니다. 메모리 덤프 파일을 통해서 프로세스를 좀 확인해 보겠습니다. profile이 Win7SP0x64을 사용하면 될 것 같습니다. 프로세스 및 하위 프로세스를 확인하기 위해서 여러 프로세스 플러그인 중에서 pstree를 사용해 보겠습니다. 위의 프로세스 트리를 확인해 보면 아래와 같다는 것을 알 수 있습니다. explorer.exe └ iexplore.exe └━ Hwp.exe └━━ temp.exe └━━━ cmd.exe └━━━━ OfficeHelp.exe 인터넷 익스프로러 하위에 Hwp.exe 라는 프로세스가 돌고 있습니다.. CCE 2017 write up POST URL : https://ws1004-4n6.notion.site/CCE-2017-b119b409825f4522ae3fd697f221c579 CCE 2017 1. hics/hics1212! 로 접속하고 .bash_histroy 에서 flag를 찾아 입력하시오. 2. 웹메일에서 취약점이 존재하는 파일의 full path를 입력하시오. 3. 해커가 웹 공격에 사용한 명령어에서 flag를 찾아 입력하시오 ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★ exFAT(Extended File Allocation Table) File System Structure Analysis 이번에 분석할 파일은 exFAT File System 입니다. exFAT 이라고 불리지만 FAT64 라고 불리기도 합니다. exFAT 파일 시스템을 다른 파일 시스템과 볼륨 크기 및 파일의 최대 크기를 비교 해 보겠습니다. exFAT 파일의 구조를 한번 알아 보겠습니다. - Main Root Region : 주 부트 영역 - Backup Boot Region : 백업 부트 영역 - FAT Region : FAT 영역(일반 적으로 FAT #1 만 있지만 TFAT15로 설정된 경우에는 FAT #2 가 존재 합니다.) - Data Region : Data 영역 위의 exFAT 파일의 구조 중에서 Main Root Region 인 Volume Boot Record(VBR) 을 자세히 알아 보면 아래와 같습니다... PDF(Portable Document Format) File Structure Analysis 이번에 분석해볼 파일구조는 PDF 파일 입니다. PDF 파일이란? 우리가 이야기 하는 PDF는 이동가능 문서 형식(Portable Document Format) 의 약자로 Adobe에서 개발한 전자 문서 형식입니다. PDF는 컴퓨터 환경에 관계 없이 같은 표현을 하기 위함을 목적으로 개발이 되었습니다. PDF는 2008년에 ISO 32000 오픈 포맷으로 표준화 되었습니다. PDF 파일은 다른 파일 구조와 달리 HEX 데이터에서 파일을 구조를 눈으로 확인이 가능합니다. 이는 확장자를 .txt 인 텍스트 문서로 변환을 하고 나서 확인을 하면 쉽게 확인이 가능하다는 것 입니다. 알아 볼 수있는 부분은 구조적인 부분이고, 알아볼 수 없는 부분은 stream 오브젝트에 들어있는 데이터 부분입니다. 그렇다면 PD.. ZIP File Structure Analysis 이번에 분석해볼 파일구조는 ZIP 파일입니다. ZIP 파일이란? Archive File Format 중 하나로 무손실 데이터 압축 방식을 지원합니다. 여러 알고리즘을 사용하고 있었지만 현재에는 Deflate 알고리즘을 대부분 가장 많이 사용하고 지원되는 압축 알고리즘 입니다. 먼저 파일의 구조 레이아웃을 보기 전에 ZIP 파일의 간략한 구조를 한번 확인하고, 구동 원리를 확인한 후에 세부적인 구조를 알아 보겠습니다. ZIP파일의 간략한 구조는 아래와 같습니다. 위의 구조는 ZIP 파일내에 3개의 파일이 압축 되어 있을때 확인 할 수있는 구조 입니다. 아래의 구조는 ZIP File의 동작 원리를 알수 있는 구조입니다. 1. ZIP파일을 실행 하면 먼저 End of Central Directory 로 들어가.. 디렉터리 엔트리 분석 [Directory Entry Analysis] - SFN, LFN 디렉터리 엔트리는 Windows의 FAT 파일시스템에서 파일의 이름, 확장자, 위치, 크기등을 표현하기 위한 구조체입니다. 하나의 파일 및 디렉터리는 각각의 메타정보를 표현하기 위해 하나의 디렉터리 엔트리를 가집니다. FAT(File Allocation Table) 파일 시스템의 FAT 영역 뒤에 오는 루트 디렉터리을 살펴 보면 최상위 디렉터리에 존재하는 파일들의 디렉터리 엔트리를 확인할 수 있습니다. 파일의 메타 정보를 저장하는 디렉터리 엔트리의 구조는 32바이트 이며 구조 먼저 확인해 보면 아래와 같습니다. 위와 같은 구조를 가지는 파일을 SFN 이라고 이야기 합니다. SFN File 이란 Short File Name 의 약자로 파일명이 8바이트 이하인 파일을 이야기 합니다. 7바이트를 초과한 파일들.. 이전 1 2 3 4 5 6 다음