N0cT1s41

해당 포스트는 Start up 디스크 포렌식의 PeTya 랜섬웨어 감염 MBR 복구을 복구하는 내용의 실습입니다.Petya 랜섬웨어란 Petya 랜섬웨어는 유저가 메일을 통해 PDF파일이나 SFX(SoundFX) 파일로 위장한 실행파일을 다운로드한 후 UAC(User Account Control)를 우회하지 않고 실행된다. 강제 재부팅과 MBR영역이 변조되어 파일 접근을 할 수 없도록 한다. 그 이후 해커는 컴퓨터를 복구 시키는 값으로 비트코인을 요구한다.  Petya 랜섬웨어는 MBR영역만 감염시키기 때문에 감염된 하드디스크를 다른 PC의 슬레이브 디스크로 연결하면 디스크에 저장된 파일을 확인 할 수 있다.해당 디스크를 열어보면 아래와 같은 화면이 나온다.해당 악성코드로 인해 변경된 MBR구조를 보면 ..

해당 포스트는 Start up 디스크 포렌식의 FAT32 파티션을 복구하는 내용의 실습입니다.해당 실습 파일을 FTK Imager를 통해 내용을 확인해보자.그럼 Unallocated Space 로 나와 파티션이 손상된 것을 볼 수 있다.이제 손상된 파티션을 복구하기 위해서는 Hxd가 필요하다.Hxd를 통해 해당 파티션을 열어주자불러온 파티션을 조금 분석하자면해당 파티션은 0x80으로 부팅이 가능한 파티션이다.또한 0x0B로 FAT32의 파일시스템인 파티션이고 테이블의 시작주소는 [3F 00 00 00]인것을 알 수 있다.해당 시작주소를 10진수로 변환하면 63이 나온다. 섹터를 63으로 이동하면 아래와 같이 깨진 것을 볼 수 있다.FAT32는 BR 백업본을 시작주소에 6번째에 가지고 있다.시작주소인 63..

해당 포스트는 Windows 포렌식과 Registry에 대한 이론적인 부분에 대한 내용입니다. 1. Windows ArtifactsArtifacts의 사전적 의미로는 "유물", "인공물" 이라는 뜻을 가지고 있지만 포렌식에서는 아래와 같은 의미가 나타낸다.Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거: 프로세스.  시스템에서 자동으로 생성한 데이터(Windows Artifacts는 생성증거에 해당)보관증거: 사람이 기록하여 작성한 데이터(1) Windows Artifacts 종류 레지스트리$MFT, $Logfile, $UsnJrnlLNKJumpListRecycle Bin(휴지통)Prefetch..