본문 바로가기

디지털포렌식10

디지털 포렌식 Sub 5 - Petya 랜섬웨어 감염 MBR 복구 실습 파일 - PET.zip > PET.vmdk 목표 - MBR이 손상된 파일시스템 복구 Petya 악성코드 감염으로 변경되는 MBR 구조- 0~0x6FFF 까지는 악성 데이터로 덮어씌운다. 0x7000~0x7200 오프셋에는 0x37로 XOR된 MBR 원본이 저장된다. 0x7200byte까지 감염되도록 코딩되어 있으나 실제로는 0x7202 byte가 감염 복구 과정은 두가지로 1.XOR 암호화된 MBR 정보 복호화 후 0번 섹터인 MBR 위치에 복사 2. MBR 영역 다음 섹터부터 악성코드로 덮인 영역 모두 0으로 덮어씌움 1. 우선 FTK Imager로 PET.vmdk를 열자, 그다음 ctrl+g (go to offset) 누른 뒤 07000 누른뒤 hex 에 체크후 OK 0x7000 오프셋으로 이동.. 2023. 12. 14.
디지털 포렌식 Sub 4 - 3.20 악성코드 감염 MBR 복구하기 실습 파일 - 3.20_MBR_VBR_Recovery.zip 안의 Windows 7.vmdk 목표 - MBR 및 BR 영역이 모두 손상된 파티션 복구 3.20 악성코드는 3.20 특정 시간에 발동되는 악성코드로 MBR 영역을 파괴하는 악성코드로 유명하다. MBR 영역과 VBR(Volume Boot Record), 파티션 시작위치인 BR을 모두 특정 문자열로 덮어씌워서 부팅이 불가능하도록 만든 악성코드이다. ​복구를 위해 진행하는 단계는 크게 3단계이다. 1 - MBR,VBR 위치 확인 2 - MBR,VBR 복구 3 - 복구된 MBR과 VBR을 원래의 위치로 복사 이번에는 가상 이미지를 virtual box나 vmware를 이용해서 사용할 것이다. vmdk 파일 속성을 보니 버추얼박스를 열고 새로만들기를 .. 2023. 12. 14.
디지털 포렌식 Sub 3 - 다중 파티션 구조 이해 실습 파일 - Ex_Partition.zip 안의 Ex_Partition.001 학습 목표 - 다중 파티션의 구조 이해 우선 HxD로 파일을 연다. 드래그한 부분을 보면 4개의 파티션 정보가 모두 들어가 있는것을 확인할 수 있다. 보았을때 맨 밑 파티션 정보에서 왼쪽에서 세번째 05(0x05)는 확장파티션을 나타내는 플래그 값임을 볼 수 있다. 그런데 FTK Imager로 확인해보니 총 5개의 파티션을 가지고 있다. 마지막 5번째 파티션정보는 다른위치에 저장되어있다. 아까 봤던 0x05 즉, 확장 파티션의 시작주소로 이동하게 되면 또다른 MBR의 구조를 볼 수 있을것이다. 확장 파티션 시작 주소는 맨 마지막 파티션 정보의 7번째부터 있는 80 B0 04 00이다. 10진수 값을 확인하려면 드래그 후 왼쪽.. 2023. 12. 14.
디지털 포렌식 Sub 2 - NTFS 파티션 복구하는 방법 실습 파일 - NTFS_Partition.zip 안의 NTFS Partition Recovery.001 학습 목표 - BR 영역이 손상된 파티션 복구하기 Sub 1에서 했던 대로 FTK Imager에서 열어본다. 파티션이 손상되어있다. 전과 같이 수정하기 위해 HxD 에디터로 열어보자. (HxD에디터로 열기 전에 FTK Imager에서 File - Remove All Evidence Items 를 눌러 이미지를 완전히 닫고 열자) 우선 시작주소는 3F000000 인것을 볼 수 있다. 왼쪽에 07( 0x07)이라고 된것을 보아 NTFS 파일시스템을 가진 파티션인것을 알 수 있으며, 위쪽 부트플래그가 80이니 부팅 가능한 파티션이다. 3F000000이니 섹터는 63 섹터로 이동하자. 이번에도 이상한 문자열로.. 2023. 12. 14.