분류 전체보기 (35) 썸네일형 리스트형 02주차. 웹 크롤링 기초(2) 보호되어 있는 글입니다. 01주차.웹 크롤링 기초 보호되어 있는 글입니다. (동계모각소)Part2_ch05 PC 기반 파티션(01) 5.1 도스 파티션 도스 파티션과 같은 유형을 사용하는 disk를 MBR(Master Boot Record) 디스크라고 부른다. 이 도스 파티션 시스템은 가장 흔한 파티션 시스템인 반면에, 가장 복잡한 분할 시스템이다. 도스 파티션을 사용하는 대표적인 것들은 MS-DOS, Windows, Linux, IA-32기반(Free BSD, Open BSD)가 있다. 5.1.1 전체 개요 기본적인 MBR 개념 MBR(Master Boot Record)는 512byte 섹터 내에 존재하며 (1)부트 코드, (2)파티션 테이블, 시그니처 값을 포함한다. (1) 부트 코드 : 파티션 테이블 처리 명령어 + 운영체제 위치 확인 명령어로 구성된다 (2) 도스 파티션을 설명하는 4개의 엔트리이다. (파티션 끝과 시작 주소,.. (동계모각소)Part2_ch04 볼륨 분석 4.1 소개 4.2 배경 볼륨 개념 볼륨 : 응용프로그램이나 운영체제가 데이터를 저장해 사용하도록 주소가 저장된 섹터의 집합 -> 섹터가 연속적일 필요는 없다. 작은 볼륨을 모아 하나의 볼륨으로 생성 가능하다. 파티션의 전반적인 이론 파티션 : 볼륨에서 연속적인 섹터들의 집합 -> 파티션은 하나의 볼륨으로 볼 수 있다.(섹터의 집합이기 때문에) -> 파티션 시스템은 한 개 이상의 테이블을 가지며 볼륨의 레이아웃을 구성한다. 시작 끝 타입 0 99 FAT 100 249 NTFS 테이블의 각 엔트리는 각각의 파티션에 대한 정보를 나타낸다. 여기서 시작과 끝은 파티션의 시작과 마지막 섹터를 나타내며 필수적인 데이터이다. 파티션 시스템은 볼륨의 레이아웃을 구성하는 데 이 값들이 없다면 볼륨을 구성할 수 없기 때.. (동계모각소)Part1_ch03 하드디스크 데이터 수집 3.1 소개 수집 절차 분석 대상 시스템에서 데이터를 복사할 때 512byte에서 몇 천 바이트 범위의 데이터 묶음(chunk) 단위로 복사하는 것이 효율적이다. 수집 도구가 데이터를 읽는 중에 오류가 발생하면 대부분의 도구들은 복사본 목적지에 0을 쓴다. 데이터 수집 계층 각 계층에서 진행하는 데이터 수집은 데이터가 손실될 수 있기 때문에 증거가 있는 가장 아래 디스크 계층에서 데이터를 수집해야 한다. 디스크 수준에서 데이터를 수집하는 시나리오 2가지 1) 볼륨 수준에서 디스크를 수집 & 각 파티션 내 모든 섹터의 복사본을 만들어야 하는 경우 -> 파티션에 할당되지 않은 섹터들은 수집할 수 없다. 2) 백업 유틸리티를 이용해 할당된 파일들만 복사하는 경우 -> 지워진 파일들 복구 X, 모든 임시 데이터.. (동계모각소)Part1_ch02 컴퓨터 기초 2.1 데이터 구성 데이터 크기 대체로 데이터가 저장되는 공간의 가장 작은 크기는 1byte이다. 큰 수를 저장하기 위해 보통 2, 4, 8 바이트의 크기로 그룹을 짓는다. 컴퓨터가 여러 바이트의 값을 구성하는 방법은 저장하려는 데이터의 첫 바이트를 최상위 바이트에 두는 빅 엔디안이 있다. 반대로 첫 바이트를 최하위 바이트에 두는 리틀 엔디안이 존재한다. 디스크와 파일시스템 데이터를 조사할 때 분석 대상 시스템의 엔디안 순서를 유지하지 않으면 정확하지 않은 값이 계산될 수 있다. 빅 엔디안 썬 스팍, 모토로라 PowerPC 등 리틀 엔디안 IA32에 기반을 둔 시스템, 64비트 시스템 스트링과 문자 인코딩 문자 저장에서 가장 일반적인 기술은 ASCII나 유니코드를 이용해 문자들을 인코딩하는 것이다. AS.. (동계 모각소)Part1_ch01 디지털 조사 기초 1.1 디지털 조사와 증거 디지털 조사(digital invertigation)는 사건과 관련된 여러 의문에 대해 가설을 세우고 그 가설을 검증해 나가는 과정이다. 디지털 증거(digital evidence)는 가설을 반박하거나 뒷받침하는 신뢰할 만한 정보를 포함한 디지털 객체이다. 수사관은 증거(디지털 증거)에 기반한 가설을 만든다. 이 가설을 반박하는 또 다른 증거를 찾아 이를 검증(디지털 조사)한다. 디지털 조사와 디지털 포렌식 조사의 주요 차이점은 증거를 수집하는 과정에서 법적 요건을 갖추느냐에 있다. 디지털 포렌식 조사는 디지털 객체를 조사하기 위해 과학과 기술을 사용하는 절차이며, 법정에서 사용할 이론을 세우고 검증하는 과정이다. (해당 조사 과정이 디지털 조사보다 더욱 엄격하다.) 1.2 디.. [리버싱 핵심원리] 메모장 WriteFile() 후킹 (1) Method Object(what) Location(Where) Technique(how) API Static File 1)IAT 2)Code 3)EAT X X Dynamic Process Memory Debug(Interactive) DebugActiveProcess GetThreadContext SetThreadContext Injection Independent Code CreateRemoteThread DLL file Registry(Applnit_DLLs) BHO(IE only) SetWindowsHookEx CreateRemoteThread 해당 단원에선 디버그 방식의 API 후킹을 이용한다. 1. 디버거 설명 디버거(Debugger) = 디버깅 프로그램 디버기(Debuggee) = 디버깅 당.. 이전 1 2 3 4 5 다음
