suppose

레지스트리는 대부분 하이브(Hive)라고 부르는 파일의 세트에 들어있다. 하이브는 바이너리 파일이기 때문에 ‘레지스트리 편집기’와 같은 특별한 에디터가 없으면 살펴볼 방법이 없다. 그러나 하이브는 레지스트리의 일부를 로드하거나 백업하기 쉽게 해준다. 대부분의 레지스트리는 하이브 파일에 저장되며 이 파일은 숨김, 시스템, 읽기전용 속성은 가지고 있지 않지만, 항상 열려 사용되고 있기 때문에 할 수 있는 일이 제한되어 있다. 컴퓨터 설정과 연관된 하이브 파일은 ₩Windows₩System32₩CONFIG 디렉토리에 들어있다. 그리고 사용자 설정에 관련된 하이브 파일은 ₩Document and Settings₩username 디렉토리에 들어있다. 사실 이는 로컬 사용자 설정인 경우이고, ‘이동 사용자 프로필’..

크게 사전준비, 증거수집, 증거포장 및 이송, 조사분석, 정밀검토, 보고서 작성의 6단계 절차에 따른다. 또한 전체 포렌식에 필요한 기술로는 크게 데이터를 수집하는 기술, 수집된 디지털 데이터를 분석하여 증거를 추출하는 기술로 나눌 수 있다. (데이터수집기술, 증거추출기술) 원본 데이터 수집 기술은 이미징, 이미지 인식, 네트워크 정보 수집, 메모리 기반 장치 복제, 휘발성 데이터 수집, 하드 디스크 복수, 메모리 복구, 삭제된 파일 복구, 암호 통신 내용 해독을 수행한다. 증거 분석 기술은 로그 및 레지스트리 분석, 영상 정보 분석, 데이터마이닝, 네트워크 시각화, 저장매체 사용 흔적 분석 든을 수행한다.

운영체제나 응용소프트웨어 등의 각종 컴퓨터 프로그램에서 소프트웨어 구성 요소 간에 발생하는 함수 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 명령, 방법, 기술이나 행위를 말한다. 이때 이러한 간섭된 함수 호출, 이벤트 또는 메시지를 처리하는 코드를 ’후크‘라고 한다. 즉, 후킹은 시스템의 호출되는 함수를 중간에 가로채서 입력값과 출력값을 제어하여 응용 프로그램에 활용하고 기능을 확장하는데 사용된다. 또한, 가장 고전적인 시스템 공격기법 중 하나이며, 사용자의 키보드나 마우스의 움직인 정보를 몰래 가로채는 공격으로 활용된다. 크래킹(불법적인 해킹)할 때 크래킹 대상 컴퓨터의 메모리 정보, 키보드 입력 정보 등을 빼돌리기 위해서 사용되기도 한다. 예를 들어 특정한 API를 후킹하면 해당 API의..

신기하다 내가 불가지론자인 것에 아주 놀라워 한다. 무신론자는 아니지? 라며 되묻기도 한다. 그럼 무신론자나 불가지론자에 대해서 그 나라 사람은 어떻게 생각하는지 물었다. 그 친구가 그 나라에서 자주 언급되었던 것은 아니 동물도 아닌데 왜 종교가 없어?? 라는 것이었다. 지구 전체를 봤을때 내가 오히려 소수자 인 것 같이 느껴졌다..

해시함수는 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수이다. 해시함수에 의해 얻어지는 값은 해시값, 해시코드, 해시 체크섬 또는 간단하게 해시라고 한다. 해시함수는 다음과 같은 특징이 존재한다. 다양한 가변길이의 입력에 적용될 수 있어야 하고, 고정된 길이의 출력을 생성하며, 해시 결과값으로 입력값을 계산하는 것은 불가능하다. 그리고 동일한 해시값을 갖는 서로 다른 메시지 쌍이 없다. 해시함수의 용도 중 하나는 ‘해시 테이블’이라는 ‘자료구조’에서 사용되며, 매우 빠른 데이터 검색을 위한 컴퓨터 소프트웨어에 널리 사용된다. 해시함수는 큰 파일에서 중복되는 레코드를 찾을 수 있기 때문에 데이터베이스 검색이나 테이블 검색의 속도를 올릴 수 있다. 예를 들어, DNA Sequence에서 유사한..

악성코드 탐지기법은 크게 (시그니처 탐지기법, 휴리스틱 탐지기법, 행위기반 탐지기법, 퍙판기반 탐지기법으로 분류할 수 있으며, 악성코드 분석방법은 정적 분석방법, 동적 분석방법, 자동화 분석방법으로 나눌 수 있다. 유형별 탐지기법의 상세 내용은 다음과 같다. (1) 시그니처 기법 : 다른 말로 ‘Misuse기반 탐지’ 혹은 'Knowledge 기반 탐지‘로 불린다. 이름에서 볼 수 있듯이 시그니처 기반 탐지기법은 이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려준다. 시그니처 탐지기법은 모니터링한 트래픽이 알려진 악성행위의 특징과 일치하면 이를 공격으로 탐지하여 알려주는 것이므로, 많이 알려지고 공격자가 자주 사용하는 공격, 혹은 ..

메타스플로잇 프레임워크는 취약점을 공유하는 사이트로서 취약점 DB에 존재하는 바이너리에 대한 자동화된 공격코드를 제공해준다. 따라서 해킹에 대해서 깊은 지식이 없어도 조금의 개념만 익히면 자동화된 공격을 통해 시스템의 권한을 획득하거나, 불법적인 바이러스를 유포하거나 악의적인 공격 또한 할 수 있다. 메타스플로잇 프레임워크는 버퍼 오버플로우, 패스워드 취약점, 웹 응용 취약점, 데이터베이스, 와이파이 취약점 등에 대한 약 300개 이상의 공격 모듈을 가지고 있는 오픈 소스 도구로, 메타스플로잇을 이용하면 저렴한 비용으로 기업의 시스템에 대한 포괄적인 침투시험을 통한 취약성을 확인할 수 있다. 따라서, 각 기업과 관공서 등 개인정보와 기밀정보를 가진 단체에서는 자신들이 쓰는 시스템 및 데이터제이스 시스템의..

배치 통제란 배치 처리 시 사용자 부서에서 작성한 원시 문서에 대하여 합계를 계산하는 것이다. 금액 합계란 거래 처리 시 지출 또는 수입금액의 전체 합계를 의미하고, 문서 합계란 접수된 원시문서의 전체 개수로, 거래 합계라고도 한다. 그리고 해시 합계란 원시부서에 사전 부여한 일련번호 또는 거래 식별 번호의 합계를 말하며, 항목합계란 각 거래 또는 문서에 포함된 처리대상 상품 및 품목의 총 개수이다.

‘레터럴 무브먼트’는 지능형 위협(APT: Advanced Persistent Threat) 공격 과정 중 공격자가 조직 내 최초 ’시스템 해킹‘에 성공한 후 내부망에서 사용되는 ‘계정 정보’를 획득하여 내부망의 시스템으로 이동하는 방식을 의미한다. 레터럴 무브먼트는 기업의 보안에 대한 인식과 대응 수준이 높아지면서 경계 보안이 강화되었기 때문에 공격자가 주로 사용하는 공격방법이다. 기업의 보안에 대한 인식과 대응 수준이 높아지면 공격자가 특정 조직을 목표로 삼더라도 특정 시스템을 직접적으로 단번에 뚫고 들어갈 가능성은 점점 낮아질 수 밖에 없다. 따라서 사용자 시스템을 먼저 해킹한 후 공격자가 원하는 데이터가 보관된 내부의 다른 시스템을 찾아, 내부에서 내부로의 이동이 필요하게 된 것이다. 즉, 사이버..

컴퓨터 범죄는 사이버 테러형 범죄와 사이버 범죄형 범죄로 나눌 수 있다. 사이버 테러형 범죄는 해킹, 서비스 거부 공격, 바이러스 제작, 유포, 악성 프로그램, 메일 폭탄 등이 있다. 사이버 범죄형 범죄는 사기(통신, 게임), 불법복제(음란물, 프로그램), 불법/유해사이트(음란, 도박, 폭발물, 자살), 명예훼손죄, 모욕죄, 개인정보침해, 사이버 스토킹, 성폭력, 협박/공갈 등이 있다.