September 02, 2014

HFS+ 파일 시스템 포맷 및 OS X 설치 시간 알아보기

사용자가 고의로 OS X 파일 시스템인 HFS+ 디스크를 포맷하거나, OS X를 설치한 시간을 알아봐야할 경우가 있다. 두 이벤트는 동시에 일어나거나 별도로 일어날 수 있는데 다음과 같은 행동을 했을 경우로 볼...

August 25, 2014

ASL (Apple System Log) File Format

소개 ASL은 Mac OS X 10.4 이상에 있는 바이너리 형태의 시스템 로그이다. ASL에는 다음과 같은 정보가 저장된다. 방화벽 로그인 정보 프로그램 에러 네트워크 정보 설치 정보 시스템 부팅/재부팅/종료 권한 상승...

August 24, 2014

SQLite WAL (Write-Ahead Logging)

소개 과거 데이터베이스는 갑작스런 이벤트로 인해 데이터베이스가 손상되는 것을 방지하기 위해 트랜잭션(transaction)에 저널링(Jorunaling)을 사용하였다. 데이터베이스의 저널링 기법은 롤백 저널(Rollback Journal)이라고 불리며, 데이터베이스 파일 내에 저널링 데이터 보관 영역을 두고, 필요할...

August 11, 2014

[제1회 FI 세미나] 사이버전 악성코드의 특징 질의응답

제 1회 포렌식 인사이트 세미나에서 발표된 내용 중 질문에 대한 답변을 작성하였습니다. 여기에 작성된 내용은 저의 의견이며, 특정 집단의 생각과는 무관하오니 참조 정도 하시면 좋을 것 같습니다.   Q. 세미나...

February 11, 2014

DFIRCON 2014 : Memory Forensics (Part IV) – irykmmww.sys

Part IV에서는 루트킷인 irykmmww.sys에 대한 내용을 다룬다. 1. 기능 분류 디바이스 드라이버인 irykmmww.sys는 DLL이나 D1L의 행위를 사용자에게 노출되지 않도록 은닉하는 임무를 담당한다. 참고로 디바이스 드라이버를 메모리에서 덤프한 경우에는 Native API가...