N0cT1s41

해당 포스트는 Start up 디스크 포렌식의 PeTya 랜섬웨어 감염 MBR 복구을 복구하는 내용의 실습입니다.Petya 랜섬웨어란 Petya 랜섬웨어는 유저가 메일을 통해 PDF파일이나 SFX(SoundFX) 파일로 위장한 실행파일을 다운로드한 후 UAC(User Account Control)를 우회하지 않고 실행된다. 강제 재부팅과 MBR영역이 변조되어 파일 접근을 할 수 없도록 한다. 그 이후 해커는 컴퓨터를 복구 시키는 값으로 비트코인을 요구한다.  Petya 랜섬웨어는 MBR영역만 감염시키기 때문에 감염된 하드디스크를 다른 PC의 슬레이브 디스크로 연결하면 디스크에 저장된 파일을 확인 할 수 있다.해당 디스크를 열어보면 아래와 같은 화면이 나온다.해당 악성코드로 인해 변경된 MBR구조를 보면 ..

해당 포스트는 Start up 디스크 포렌식의 악성코드 감염 MBR을 복구하는 내용의 실습입니다.3.20 악성코드는 MBR영역과 VBR , BR을 모두 특정 문자열로 덮어씌워 부팅이 불가능하도록 한 악성코드이다. 일단 해당 이미지 파일을 HxD로 열어보면 예약 영역이 나오게 된다. MBR구조가 오는 것이 아니라 예약 영역을 제외하고 보기 위해 FTK Imager를 열어 확인해보자.확인해보니 MBR 영역이 모두 HASTSTI. 이라는 문자열로 뒤덮인 것을 볼 수 있었다.이 문자열을 추가적으로 더 검색해보니 MBR영역 말고도 2곳에서 더 뒤덮인건 확인 할 수 있었다. 일단 먼저 MBR을 복구하기 위해서는 정상적인 OS가 필요하다.이것은 실습이기 때문에 정상적인 OS파일을 구해놨다.복구하려는 하드디스크는 OS..

해당 포스트는 Start up 디스크 포렌식의 다중파티션의 이해에 대한 내용의 실습입니다.HxD를 통해 테이블 정보를 분석하면 4개의 파티션 정보가 들어가있는 것을 볼 수 있다. 하지만 여기서는 아래 플래그값을 통해 확장 파티션이 존재한다고 알려준다.그럼 이 나머지 확장 파티션은 FTK Imager를 통해 확인할 수 있다.그럼 마지막 확장 파티션의 시작 주소로 이동하여 또 다른 MBR 구조를 확인 할 수 있다.확장 파티션 시작주소는 아래사진을 10진수로 바꾼 값이다.10진수로 바꿔보면 307328이 나온다. 섹터를 거기로 이동해보면 2개의 파티션 정보를 볼 수 있었다.파티션 타입을 확인해보면 첫번쨰는 0x07로 NTFS인것으로 보이지만두번째는 타입이 0x05로 확장 파티션임을 가르키고 있다.여기서 해당 ..

해당 포스트는 Start up 디스크 포렌식의 FAT32 파티션을 복구하는 내용의 실습입니다.해당 실습 파일을 FTK Imager를 통해 내용을 확인해보자.그럼 Unallocated Space 로 나와 파티션이 손상된 것을 볼 수 있다.이제 손상된 파티션을 복구하기 위해서는 Hxd가 필요하다.Hxd를 통해 해당 파티션을 열어주자불러온 파티션을 조금 분석하자면해당 파티션은 0x80으로 부팅이 가능한 파티션이다.또한 0x0B로 FAT32의 파일시스템인 파티션이고 테이블의 시작주소는 [3F 00 00 00]인것을 알 수 있다.해당 시작주소를 10진수로 변환하면 63이 나온다. 섹터를 63으로 이동하면 아래와 같이 깨진 것을 볼 수 있다.FAT32는 BR 백업본을 시작주소에 6번째에 가지고 있다.시작주소인 63..

https://infosec-noh.tistory.com/6 디스크 마운트, 메모리 덤프https://infosec-noh.tistory.com/4 디스크 이미징 디스크 이미지는 기록 미디어 안에 있는 내용이 저장된 파일을 가리킨다. 디스크 이미징이란, 디스크를 파일의 형태로 가져오는 것을 말한다. 디스크를infosec-noh.tistory.com이전글을 먼저 보시는 것을 추천합니다.이번에는 삭제된 파일들을 복구하는 방법을 학습하겠다.FTK의 좌측 상단 edd evidence item을 통해 저번에 만들었던 이미지 파일을 추가한다. 추가 후 root까지 가보면 이미지 안에 있는 파일들을 보여 줄 것이다.근데 파일을 보니 X 처리 된 파일들이 있다.이것은 삭제된 파일로 우리가 일반적으로 열었을 땐 보이지 ..

https://infosec-noh.tistory.com/4 디스크 이미징디스크 이미지는 기록 미디어 안에 있는 내용이 저장된 파일을 가리킨다. 디스크 이미징이란, 디스크를 파일의 형태로 가져오는 것을 말한다. 디스크를 분석하기 위해서는 파일의 형태로 존재infosec-noh.tistory.com이전글을 먼저 보시는 것을 추천합니다. 준비물 : FTK Imger, HxD, 이미징 파일(확장자 E01 파일) [디스크 마운트] 디스크 마운트란, 이미징된 파일을 내 컴퓨터에 등록시키는 것이다. 디스크 이미지를 다시 드라이브처럼 내 컴퓨터에 등록하여 D, E, F... 드라이브 등이 새로 생성된다. [메모리 덤프] 메모리 덤프란, 메모리의 특정 시점 상태를 파일로 만들어 저장하는 것이다. 주로 켜져있는 컴퓨터를..