11 12, 2015

KDFS 챌린지에 바라는 점

By | 12월 11th, 2015|Challenge & Conference|0 Comments

참고로 본 글은 챌린지에 참여한 참여자나 출제팀을 무시하거나 비난하는 것이 아닌 고민해야할 점을 다룬 글입니다. 그 분들의 보고서는 제 것보다 뛰어났으며, 출제팀도 많은 고민을 통해 이러한 판단 기준을 세운 것으로 보입니다. :-) 시작 KDFS 2015 결과가 나왔습니다. 아쉽게도 저는 수상하진 못했네요. 하하. 일단 수상한 다른 분들에게 감사의 말을 전합니다. 수상하신 분들의 보고서를 보니 제가 작성한 [...]

6 11, 2015

KDFS 2015 챌린지 후기

By | 11월 6th, 2015|Challenge & Conference|5 Comments

요즘에 두 학회에서 디지털 포렌식 챌린지를 주최하고 있다. 하나는 사단법인 한국포렌식학회에서 하는 "디지털 범인을 찾아라” 이고, 다른 하나는 한국 디지털 포렌식 학회에서 하는 “KDFS Challenge” 이다. 이 두 챌린지는 다른 해킹대회처럼 어떠한 키를 찾는 것보다는 증거를 찾는 것도 중요하지만, 증거를 찾는 과정이 얼마나 논리적인지를 확인하는 것 또한 중요하게 생각하고 있다. 사실 이 쪽을 공부해본 사람들은 [...]

9 09, 2015

Check kernel state for OS X/BSD rootkit analysis

By | 9월 9th, 2015|Malware Analysis, Memory Forensics|0 Comments

프로세스가 커널 모듈(e. 윈도는 디바이스 드라이버)와 통신할 때, IO Control / Kernel Event API를 이용하여 약속된 메시지를 전달/이벤트를 설정하고, 드라이버는 그 메시지를 핸들러에서 받아 그에 맞는 임무를 수행하는 구조를 가진다. 범용 운영체제로 알려진 시스템은 대부분 이러한 구조로 프로세스와 커널 모듈이 통신한다. 기존 BSD는 커널 모듈에서 커널의 특정 값을 가져오고 싶거나 커널 설정을 변경하여 커널 내의 [...]

22 05, 2015

Solaris(with Sun’s SPARC HW) wtmpx Analyzer

By | 5월 22nd, 2015|OS Artifacts|0 Comments

얼마 전 지인의 요청으로 Sun Sparc 장비(솔라리스)의 사용자 접속 로그를 분석할 일이 있었다. 리눅스/유닉스 시스템은 보통 현재 접속 중인 세션 정보는 utmp/utmpx에 저장하고 접속 누적 정보는 wtmp/wtmpx 에 저장하고 있어서 이 파일을 분석하면 된다. 솔라리스도 동일한 파일에 데이터를 기록하고 있다. 솔라리스는 ‘/var/adm/utmpx or wtmpx’에 기록하며, 헤더 정보는 Solaris Development Portal에서 확인할 수 있다. [crayon-57c6597f492be548152999/] 솔라리스의 [...]

21 05, 2015

Mumblehard 악성코드의 몇가지 특징

By | 5월 21st, 2015|Malware Analysis|0 Comments

mumblehard는 ESET에서 관리하는 블로그인 WeLiveSecurity를 통해 알려진 악성코드로 Linux와 FreeBSD를 둘 다 지원하는 멀티플랫폼 악성코드이다. ESET에 있는 보고서가 잘 정리되어 있으니 그 내용을 참조하기 바라며, 이 글에선 필자가 흥미롭게 본 부분만 정리한다. (사실 길게 쓰기 귀찮다..) 특징 멀티 플랫폼 지원(Linux/BSD) 인코딩 기법 펄 스크립트 C&C 멀티 플랫폼 지원(Linux/BSD) 이 악성코드는 ELF 바이너리를 배포했음에도 여러 운영체제를 [...]