목록포렌식 (6)
참교육
Win32 Disk Imager 를 활용하여 부팅 디스크를 제작하였으나 실제 컴퓨터에 부팅작업을 진행했을 시 오류를 출력하였다. 분석 PC 가 가상머신 이미지임을 가정하고 테스트를 진행하였다. ① qemu 모듈 설치 ‘sudo apt-get install qemu' ② qemu-img convert -pO vmdk /dd 경로 /vmdk 경로 (dd 이미지로부터 vmdk 파일로의 변환) ※ -p: 필수 옵션은 아니지만 변환이 완료되었을 때 가독성이 좋게 출력된다. ※ -O: Output 명시 옵션으로 현재 명령어에서는 출력 형식이 vmdk 로 지정되어 있다. ③ 변환이 완료되면 vmware 에서 vmdk 에 맞는 운영체제를 iso 파일 없이 설치한다. ※ 이번 분석의 경우 Windows 7 ※ 'I wi..
① qemu모듈 설치 ‘sudo apt-get install qemu' ② qemu-img convert -pO vmdk /dd경로 /vmdk경로 ※ -p: 필수 옵션은 아니지만 변환이 완료되었을 때 가독성이 좋게 출력된다. ※ -O: Output 명시 옵션으로 현재 명령어에서는 출력 형식이 vmdk로 지정되어 있다. ③ 변환이 완료되면 vmware에서 vmdk에 맞는 운영체제를 iso파일 없이 설치한다. ※ 이번 분석의 경우 Windows 7 ※ 'I will install the operation system later'을 선택한다. ④ vmdk만 해당 가상머신 폴더에 넣어준 후 부팅하면 된다. vmx를 추출한 vmdk로 연결하여 실행한다.
dd if=/dev/sda | gzip -1 - | pv | ssh user@local dd of=image.gzdd if=/dev/sda (fdisk -l 로 디스크 이름 확인) : 현재 디스크 내용 출력gzip -1 : 빠른 압축 (뒤에 나오는 - 는 무슨의민지는 잘 모르겠다. 없어도 잘 됨)pv : 명령어의 실행 시간을 출력(진행사항을 대략 알 수 있음)ssh user@local -p port dd of=image.gz : ssh에 접속하여 image.gz파일로 전송
1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 로 들어가기 (없으면 키 값 만들어주기) 2. WriteProtect라는 DWORD 값 생성. 3. 해당 값이 1이면 쓰기 방지, 0이면 쓰기 방지 해제
CTF 문제 풀다가 배운 기술이다. 파이썬 코드 실행 후 삭제하였을 때 부분적으로 함수, 클래스 복구가 가능하다 참고 사이트는 여기위 포스팅에서 복구 환경은 위와 같은 코드, 즉 함수가 존재하며 파이썬 코드가 실행중일 경우, 하지만 파일이 없을 때 사용 가능. 1. 기본 설치apt-get update && apt-get install gdb 우선 update를 하고 gdb를 설치한다. 2. 모듈 설치pip install pyrasite pip install uncompyle6 실행에 필요한 pyrasite, uncomplye6을 설치한다. 3. PID 확인 ps -ef 현재 실행중인 python의 PID를 검색한다. 4. pyrasite-shell 실행 pyrasite-shell 위 명령을 실행하면 Py..
Elasticsearch bin/elasticsearch (-d) -d : 백그라운드 실행 curl -XPUT "http://localhost:9200/movies/movie/3" -d'{ "title": "Apocalypse Now", "director": "Francis Ford Coppola", "year": 1979, "genres": ["Drama", "War"]}' curl -DELETE "http://localhost:9200/twitter" logstashbin/logstash -f kibanabin/kibana