공부합시다!/포렌식
-
MBR(Master Boot Record)공부합시다!/포렌식 2023. 1. 12. 12:02
미뤄 놨던 디스크 포렌식을 시작하겠습니다. 지금이야 SSD(Solid State Drive) 대세이지만 얼마전까지만 해도 주류는 HDD(Hard Disk Drive) 대세 였지요! 또한 제약 사항이 많은 MBR보다는 UEFI 방식이 많이 사용되고 있습니다. 일단 HDD 부터 시작하도록 하겠습니다. 1. HDD 구조 1.1. Sector: HDD의 가장 작은 단위, 기본적으로 1섹터는 512byte 1.2. Cluster: Sector를 효율적으로 관리하기 위한 논리적인 단위. 통상 8개의 Sector가 1개 Cluster를 구성 1.3. 스핀들모터의 외전력에 따라서 5,400rpm과 7,200rpm으로 구별(rpm:초당 회전수) 1.4. 플래터: Data가 저장되는 원형 모양의 원판 2. MBR(Mast..
-
침해 사고대응 : MAC Time 분석공부합시다!/포렌식 2022. 2. 17. 17:13
침해사고분석에 있어서 MAC Time 갖는 의미는 대단히 중요합니다. 공격자의 행동유형을 시간대별로 재구성할 수 있기 때문입니다. 이를 Timeline 이라고도 합니다. 그럼 MAC Time은 무엇일까요? M : Modify - 파일 및 디렉토리 내용 수정 A : Access - 파일 및 디렉토리 접근 시간 (내용을 확인하려면 최소한 접근은 해야겠죠! 읽기 R) C : Change - 파일 및 디렉토리 권한 변경 을 의미합니다. 주의할 점은 Linux에서 파일 및 디렉토리의 속성 정보에 있는 시간은 마지막으로 수정한 시간입니다. 더불어 파일의 내용을 수정하면 Modify와 Change 시간이 동시에 변한다는 점입니다. 위에 설명드린 모든 사항을 stat와 cat, change 명령어를 통해서 실습해 보도..