IT EVERYTHING

HTML은 HyperText Markup Language 라는 의미로 웹 페이지에 대한 기본적인 언어이다.

이제부터는 포렌식에만 집중해서 공부를 하지 않고, 전반적인 컴퓨터 구조나 운영체제 

그리고 c언어 c++ , html&css&js 등 공부를 해서 자료등을 올릴 예정입니다.

포렌식을 공부하면서 깨달은 점이 포렌식은 정말 단순히 봐서는 안되는 것이라고 생각합니다. 그래서 이제 기초적인 것부터 올릴 예정입니다. 포렌식도 공부를 조금씩 하면서 다른 기초적인 부분도 공부를 할것입니다.

암호화는 누구든 읽어볼 수 있는 평문으로 저장된 정보를 알고리즘을 이용하여 암호 인증 키를 가진 사람만이 정보를 볼 수 있도록 암호문으로 변환하는 것을 말한다.

암호화된 형태로 정보를 저장하거나 전송을 할 경우 제 3자에 의해 손실/변조되는 것을 막을 수 있고, 인증 키를 가진 사람만이 데이터에 접근할 수 있기 때문에 데이터를 안전하게 보호 할 수 있습니다.

반대로 복호화는 데이터를 원래대로 복원하는 것입니다. 

다운로드를 받으면

notebook이라는 파일이 다운 받아 진다. hxd로 열어보면 

헤더가 41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 인 파일이 나온다. 

41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 이런 파일은 Access Data에서 지원하는 File Format 으로 Ftk Imager 를 통해 Dump를 수행했을때 ,, 확장자를 AD1으로 진행할 경우 만들어지는 파일이다.

그래서 파일 이름을 notebook.ad1 으로 다시 지정해주고 ftk 로 열었다. 

ftk 로 여는 방법은 Add Evidecce -> image File -> notebook.ad1 지정 -> Finish

Desktop - 6095485345 파일을 보면

이렇게 Gps라는 단어가 들어가 있는 것을 볼 수 가 있다.

그리고 사이트가 적혀져 있는 GPS Route Editor 라고 젹혀져 있는 곳에 들어가 다운을 받는다.

그리고 RouteEditor을 실행 시켜 준다. 

Desktop - 6095485345 파일을 추출 시킨다음에 확장자를 .gpx으로 바꿔주고 나서 RouteEditor 에다가 넣어준다.

확장자를 .gpx 로 바꿔줘야지만 RouteEditor에 들어간다.

축소를 해보니 이런 모양이 있었고 다시 확대를 해보면 공덕에서 출발 한후 , 김포 국제 공항을 거치고 나서, 제주 국제 공항에 도착한것을 알 수가 있다.

GONGDEOK ,GIMPO INTERNATIONAL AIRPORT , JEJU INTERNATIONAL AIRPORT

GONGDEOK_GIMPOINTERNATIONALAIRPORT_JEJUINTERNATIONALAIRPORT 이게 답인줄 알았지만 답이 아니라고 뜬다.

구글 맵에 위도와 , 경도 값를 쳐봤다.

넣어봤더니 , 

동부 렌트카 옆에 세븐일레븐이 있었다,,

lat : 위도 , lon : 경도

-> 지표상의 특정 지점의 위치나 장소를 나타내기 위해 사용되는 좌표체계 ,,

구글 맵에 넣을 때는 (위도값 , 경도값) 요런 형식에 맞게 넣어야 한다.

세븐일레븐일줄은 몰라서, 진짜 힘들었던 문제인거 같았다.

Auth key :  GONGDEOK_GIMPOINTERNATIONALAIRPORT_7-ELEVEN

포렌식을 공부하는 중이라서 hxd로 한번 열어봐야겠다는 생각밖에 없어서

hxd로 열어보았다

그러면 헤더와 푸터가 모두 jpg이고, 이사진 파일은 jpg 파일인걸 알 수 있다.

png 파일을 찾아보았지만, 아무 사진도 없었다.

그래서 사진 속성에 들어가봤더니

태그 영역에 tagtagtagDETAIL; 이 있었다.

AUTH KEY 는 ; 을 뺀 tagtagtagDETAIL 이다.

방화벽(Firewall)이란 ?

컴퓨터 네트워크 분야에서 방화벽이란 기업이나 조직 내부 통신망과 외부 인터넷 간 정보의 흐름을 제어하는 네트워크 구성요소를 일컫습니다. 즉, 방화벽 시스템은 내부 네트워크와 외부 네트워크 사이에 존재하면서, 내부 네트워크로의 접근과 정보유입을 제한 또는 차단하는 역할을 합니다.

보통, 내부 중요 정보가 불법으로 외부에 유출되는 것을 방지하고 해킹 공격으로부

터 정보자원을 보호하고자 하는 목적으로 사용되며, 내부 사용자들이 접속할 외부 자원을 통제하는데 사용되기도 합니다.

xcz.kr 사이트에서 비밀번호를 잃어버렸다고 한다.

다운로드를 받으면 

와이어 샤크에다가 옮긴후

xcz.kr라는 싸이트에서 비밀번호를 잃어버렸다고 하니깐 display filter에 http를 써준다.

패킷을 내리다 보면 874번째 패킷을 보면

IMZZANGHACKER 에 PW는 IDISLTE인것을 알수 가 있다

AUTH KEY : IDISLIE 

데이터의 표현

우리가 쓰는 컴퓨터는 0과 1을 사용하고 있다. 

데이터의 물리적 단위

실제로 사용 중인 물리적 장치에서 저장될 때 사용되는 단위로는 Bit가 최소단위로 사용된다.

최근 저장 장치가 발달하면서 용량이 증가하여 기가바이트 단위가 주로 사용된다.

물리적 단위

비트 :

binary digit의 약자

최소단위

0과 1로 이루어짐

쿼터 : 2bit

니블 : 4bit

바이트 : 8bit

워드 : 16bit

더블 워드 : 32bit

쿼드 워드 :64bit

데이터의 논리적 단위

디스크에 어떠한 집합체로 저장되는 것을 논리적 단위로 볼 수 있다. 이러한 특성 때문에 논리적 단위는 정보를 저장 및 처리하는데 사용한다. 논리적 단위의 내부는 물리적 단위로 구성되므로 물리적 단위에 대한 이해가 있어야 포렌식 분석에서 논리적 단위의 내부를 파악할 수 있다.

논리적 단위

필드 : 

여러 개의 byte나 워드가 모여 이루어짐

파일 구성의 최소단위

레코드(논리적 레코드) : 프로그램 내의 자료 처리 기본 단위

블록(물리적 레코드) : 저장 매체에 입출력될 때의 기본 단위

파일 : 관련된 레코드의 집합으로 하나의 프로그램 처리 단위

데이터 베이스 : 집합으로 계층적 구조를 갖는 자료 단위

빅 엔디안 과 리틀 엔디안

저장 장치에 저장될 때 크게 두가지의 방식으로 저장된다. 

리틀 엔디안

ex ) 0A0B0C0D -> 0D0C0B0A

빅엔디안

ex ) 0A0B0C0D -> 0A0B0C0D

빅 엔디안을 사용하는 시스템 : 마이크로프로세서, 네트워크상 통신 등등

리틀 엔디안을 사용하는 시스템 : 인텔 프로세서, 알파 프로세서 등등

빅 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다.

-> 0x5EA1

리틀 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다. 리틀 엔디안은 뒤에서부터 읽어준다.

-> 0xA15E

-> 10100001 01011110

시간 정보

시간 정보는 사건이 발생한 시점에 대한 행위를 파악할 수 있는 중요한 정보이므로 디지털 포렌식 관점에서 매우 중요한 정보이다. 또한, 분석 때에는 현지시각의 정보로 변환하여 분석하여야 한다. 

1) GMT

영국 런던에 있는 그리니치 천문대를 기준으로 한 평균 태양시이다.

서울은 동경 127도 표준 자오선을 가지지만, 시간은 동경 135도인 일본 표준시 JST를 사용하고 있다. 따라서, 현재 서울의 시간은 GMT + 9시간을 사용 중이다.

2) UTC

1972년 1월 1일 세계 표준시로 규정되었다. 

원자시를 사용하기 때문에 자전 주기와 무관하다. 따라서, 시간이 흘러도 시간이 변할 가능성은 거의 없게 된다. 

서울은 UTC + 9시간을 사용한다.

시간 정보 표현방식

1. MS-DOS Date / Time : 날짜와 시간을 각각 2byte씩 할당되어 총 4byte로 저장하는 방식으로 시간정보의 범위가 제한적이다.

시작시간 : 1980년 01월 01년 (00 : 21 : 00 : 00)

종료시간 : 2107년 12월 31일 23:59:58 (FF : 9F : BF : 7D)