디지털 포렌식
모든 사건에는 흔적이 남는다. 해킹을 당한 PC는 공격징조, 사용된 프로그램, 포트, 로그 등의 흔적이 남게 되는데 적절한 조합으로 범인을 찾아내는데 이 과정을 디지털 포렌식이라고 한다. 꼭 해킹 뿐만 아니라 한때 난리였던 최순실 사건처럼 삭제된 하드디스크 데이터를 복구하는 것도 포렌식이다.디지털 포렌식(1) : 해킹 - 악성코드 다운으로 시작
① 악성코드를 포함한 파일배포② 다운받은 파일실행
③ 동시에 악성코드가 함께 실행(다운로드URL 접속하여 악성코드 본체 다운)
④ 그 후
- 최고 권한(admin/root)을 획득하여 악용
- 랜섬웨어처럼 1회성 실행파일로 동작
- 기타 등등
SQL인젝션, XSS 등 해킹유형은 종류와 기법이 다양한데, 개인PC에서 피해입기 가장 쉬운 유형은 악성코드 다운으로 시작인 것 같다. 유형1은 여기까지만 써보고
디지털 포렌식(2) : 하드디스크 및 삭제된 파일 복구
① 복구 툴로 하드디스크 HEX코드를 읽고 깨진 이미지의 시작점을 찾는다.② 깨진 파일의 유형과 헤더정보를 재구성
③ img 파일로 복구하여 실행하면 깨진 이미지를 살릴 수 있다.
실습 때도 워낙에 어려워서 솔직히 지금 다시 하라니 못하겠다. 그 대신에 간단한 복구를 하는 방법도 배웠는데 FTK Imager 라는 프로그램을 활용한 복구를 해보려한다.
디지털 포렌식(3) : 와이어샤크를 활용한 네트워크 패킷분석
와이어샤크를 사용하면 주고받은 패킷의 세부분석이 가능하긴 한데, 단점이 https 그러니까 SSL 통신 등 암호화된 패킷의 내용은 제대로 읽어내지 못한다.그 대신 ARP Spoofing 같이 내부 네트워크에서 발생하는 해킹 사례등을 공부하는데 도움이 되긴하니 알아두면 좋다.
교육 들으며 정리하는 입장이라 전문가적으로 얘기할 수는 없으나, 앞으로 교육 받은 것 중 쓸만한 내용 위주로 몇 가지 정리를 해봐야겠다.
댓글
댓글 쓰기