N0cT1s41

MP4(MPEG-4 Part 14)는 비디오와 오디오 스트림을 저장하기 위한 동영상 컨테이너 포맷입니다. ISO Base Media File Format(ISOBMFF)을 기반으로 하며, 논리적 구조(logical structure), 시간 구조(time structure), 물리적 구조(physical structure)로 이루어져 있습니다. MP4의 구조 특징Logical StructureMP4 파일은 오디오, 비디오와 같은 여러 트랙(track)을 동시에 저장합니다. 각 트랙은 특정 미디어 유형을 나타내며, 독립적으로 관리됩니다.Time Structure각 트랙은 시간에 따라 구성된 샘플(sample)의 연속으로 이루어집니다. 각 샘플은 디코더에 의해 지정된 시간(DTS, CTS)에 사용됩니다.Ph..

AVI 개요AVI(Audio Video Interleave)는 Microsoft에 의해 1992년 발표된 동영상 컨테이너 포맷입니다. RIFF(Resource Interchange File Format)를 기반으로 하며, 오디오와 비디오 데이터를 하나의 파일에 동기화하여 저장할 수 있습니다. 다양한 코덱을 지원하며, 사용자가 원하는 압축 방식을 선택하여 비디오와 오디오 데이터를 저장할 수 있는 유연성을 제공합니다.AVI 컨테이너 포맷 특징AVI는 초기 멀티미디어 파일 포맷으로 높은 호환성과 단순한 구조 덕분에 편집 및 재생이 매우 용이합니다. AVI는 여러개의 list가 존재하고 각각의 list 안에 여러개의 chunk로 구성되어 존재합니다. RIFF 헤더 구조위치이름크기(Byte)설명0x00groupI..

1. Shadow Explorer란?Shadow Explorer는 Windows의 볼륨 쉐도우 복사본(Volume Shadow Copy, VSS)을 탐색하고 복원할 수 있는 도구입니다. Windows 운영체제는 시스템 보호 기능을 통해 특정 시점의 파일과 폴더를 백업하는데, 이를 볼륨 섀도 복사본이라고 합니다. Shadow Explorer는 이러한 백업 데이터를 쉽게 확인하고 이전 버전의 파일을 복원하는 데 유용하게 활용됩니다.디지털 포렌식 분석에서 Shadow Explorer는 삭제된 파일 복구, 랜섬웨어 감염 분석, 사용자 활동 추적 등 다양한 목적으로 사용될 수 있습니다.2. Shadow Explorer의 주요 기능볼륨 쉐도우 복사본 탐색Windows에서 자동 생성한 볼륨 쉐도우 복사본을 목록으로 ..

1. Everything 프로그램이란?Everything은 Windows에서 파일 및 폴더를 빠르게 검색할 수 있도록 도와주는 무료 검색 도구입니다. 기본적으로 인덱싱을 통해 파일 시스템을 실시간으로 반영하며, 다양한 검색 연산자를 활용하여 특정 파일을 손쉽게 찾을 수 있습니다.디지털 포렌식에서 Everything은 삭제된 파일을 찾거나, 특정 기간 동안 변경된 파일을 추적하는 데 유용하게 사용될 수 있습니다. 특히, 특정 날짜에 생성되거나 수정된 파일을 검색하는 기능은 침해 사고 분석(Incident Response) 과정에서 필수적입니다.2. Everything의 주요 검색 연산자Everything에서는 다양한 검색 연산자를 활용할 수 있으며, 포렌식 분석에서 가장 중요한 기능은 파일의 생성 날짜(d..

해당 문제는 Dreamhack의 palm 문제에 대한 풀이입니다. 이번 문제에서는 개발자 PC가 악성 코드에 감염되어 있으며,로그인 시마다 네트워크를 통해 민감한 로그인 정보가 유출되는 상황을 분석해야 한다.악성 코드가 개발자 PC에 침투하여 로그인 시마다 네트워크로 정보 유출침투 방식: 중앙 서버 → 개발자 PC목표: 악성 코드 분석 및 침투에 사용된 파일 탐색Flag 찾기먼저 현재 실행 중인 프로세스를 확인하여,의심스러운 프로세스가 존재하는지 점검했다.특별히 이상한 프로세스는 발견되지 않음.따라서, 네트워크 연결을 분석하는 방식으로 접근하기로 결정했다. 리눅스 환경에서 netstat과 ss 같은 명령어들이 설치되어 있지 않아대신 /proc/net/tcp와 /proc/net/udp 파일을 직접 분석했다..

리눅스 시스템에서는 다양한 로그 및 아티팩트가 저장되며, 이를 분석하여 시스템의 활동 내역을 파악하고 침해 사고 대응을 할 수 있습니다. 특히 디지털 포렌식 및 보안 분석에서 리눅스 아티팩트는 중요한 정보를 제공합니다.1. 접속 기록 관련 아티팩트(1) wtmp설명: wtmp 파일은 사용자의 로그인 및 로그아웃 기록, 그리고 시스템의 부팅 및 종료 시간 등을 저장하는 바이너리 로그 파일입니다. 이를 통해 특정 계정이 언제 접속하고 종료했는지, 그리고 시스템이 예기치 않게 종료되었는지 확인할 수 있습니다.파일 위치: /var/log/wtmplast -f /var/log/wtmp예시 :특정 사용자에 대한 기록을 조회하려면 아래 명령어를 사용합니다:last -f /var/log/wtmp | grep usern..