IT공부하는중 IT공부하는중

침입탐지시스템(IDS)- 침입탐지시스템은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다. 침입탐지시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 조작을 탐지하여 준다. 침입탐지시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요 주요기능- 정보분석 및 실시간 모니터링 기능- 공격패턴의 인식 및 탐지기능- 탐지된 공격에 대한 통지기능- 실시간 침입대응 기능- 로그 기반의 침입 행위 사후관리 기능 IDS의 한계- 시스템의 악의적인 행위 차단이 어려움- 취약성을 통해 전파되는 공격에 대응 불능- 탐지된 침입에 대한 적극적 대응력 부족 침입방지시스템(IPS)- 침입방지시스템이란 네트워크에서 공격 서명을 찾아내어 장동으로 모종의 조..

안티 포렌식란?범죄자들이 수사기관의 수사와 조사를 어렵게 하기 위해 디지털 포렌식에 대응하기 위한 안티 포렌식 기법 및 프로그램을 사용하는 경향이 있었지만 최근에는 프라이버시와 정보보호 측면에서 기업과 개인들이 사용하는 PC, 공공장소에서 사용하는 PC 등 불필요하게 저장되거나 기록된 정보가 의도하지 않는 요인에 의해 유출되는 피해를 방지하기 위해 사용하는 프로그램이나 솔루션들이 디지털포렌식을 어렵게 하는 요인이 되고 있다. 안티 포렌식의 종류- 트루 크립트- 비트락커- 스테가노그래피 등 비트락커(BitLocker)마이크로소프트사의 Windows용 사용 암호화 프로그램으로 사용이 간편하고 전체 들아비를 암호화할 수 있으며 자신의 시스템에 인증 받지 않은 변경에 대한 보호 기술 트루크립트(TrueCrypt..

이메일 헤더- 송신자가 수신자에게 이메일을 보낼 때 거치는 경로 정보를 저장.- 이메일 서버가 할당한 고유 번호인 메시지 ID를 담고 있다. 전자우편 헤더에서 확인 가능한 것- 보낸 사람이 이용한 메일 서버- 메일을 보낸 시각- 보낸 사람의 ip주소 이메일 클라이언트가 저장하는 파일 형태- .PST : Outlook- .DBX : Outlook Express- .EML : A common file- OST : Outlook- NSF : Lotus Notes File 마이크로소프트 아웃룩에서 전자우편을 복구할 때 사용하는 확장자- .pst오프라인 또는 캐시된 아웃룩 항목- .ost개인 주소록- .pab오프라인 주소록- .oab Temporary Internet File- 웹 페이지에서 파일을 다운로드 하지..

Base64란?8비트 바이너리 데이터를 아스키(ASCII) 영역의 문자들로만 이루어진 일련의 문자열로 변환하는 인코딩 방식이다.임의의 바이너리 데이터를 64개 아스키 문자의 조합으로 표현한다. . 인코딩된 문자열은 아래와 같이 알파벳 대소문자와 숫자, 그리고"+", "/" 기호 64개로 이루어진다. Base64는 전자우편에 관한 규격인 MIME(Multipurpose Internet Mail Extensions)에서 정하고 있는 부호화 방식의 하나다. Base64의 특징- "="은 끝을 알리는 코드로 쓰임.- Base64코딩을 거친 결과물은 원본보다 대략 4/3정도 크기가 늘어나게 됨.- 보통 의미없어 보이는 문자열이 나열된 형태가 됨. Digital Forensic을 Base64로 인코딩을 해보면RGl..

HPA 시스템 부팅이나 진단 유틸리티를 저장하거나 시스템 복구를 위해 사용BIOS를 통해 접근이 불가능하여 루트킷에 의한 악의적인 용도로 사용되거나 주요 파일을 숨기는 목적으로 사용될 수 있다.HDD에 의해 미리 예약된 영역HDD 제조사에 따라 정의된 특별한 ATA명령을 통해서 접근이 가능OS상에서 보이지 않아 제외된 상태로 이미징 수집될 가능성이 있으므로 포렌식 관점에서 주의가 요구되는 하드디스크 영역 DCO ATA-6에서 추가되었고, 하드디스크의 기능을 제한시킨다.DCO를 사용하여 여러 사이즈로 제작된 HDD를 같은 섹터 수를 가지는 고정된 크기에 HDD로 구성이 가능BIOS를 통하여 확인되지 않으며, 특별한 ATA 명령을 통해 접근이 가능자신의 기능을 IDENTIFY_DEVICE 명령어 결과값에 추..

RAID 란?여러 개의 하드 디스크에 일부 중복된 데이터를 나눠서 저장하는 기술이다. 데이터를 나누는 다양한 방법이 존재하며, 이 방법들을 레벨이라 하는데, 레벨에 따라 저장장치의 신뢰성을 높이거나 전체적인 성능을 향상시키는 등의 다양한 목적을 만족시킬 수 있다. RAID의 종류 RAID 0패리티 (오류 검출 기능) 가 없는 스트리핑된 세트 (적어도 2개의 디스크). 개선된 성능에 추가적인 기억장치를 제공하는 게 장점이지만 실패할 경우 자료의 안전을 보장할 수 없음. RAID 1패리티 (오류 검출 기능)가 없는 미러링된 세트 (적어도 2개의 디스크), 디스크 오류와 단일 디스크 실패에 대비하여 실패 방지 기능이 있다. 분할 탐색을 지원하는 다중 스레드를 지원하는 운영체제를 사용할 때 읽기 성능이 향상된다..

SSD- 플래시 메모리의 장점을 활용하여 만든 대용량 플래시 메모리- 자기장을 이용하는 HDD와 달리 NAND 플래시 반도체를 이용- 데이터 덮어쓰기가 불가능하여 쓰기 속도가 저하되는 특징- 기존 HDD에 비해 읽기, 쓰기, 접근 시간이 빠르며 소비전력, 소음, 발열이 낮다는 특징- SSD에는 SATA 인터페이스가 주로 사용- SSD는 임의 접근을 하여 탐색시간 없이 고속으로 데이터를 입출력할 수 있음- SSD는 HDD에 비해 외부의 충격으로 데이터가 손상될 가능성이 적음 TRIM 명령- 삭제된 데이터의 공간을 미리 비워두는 기능- TRIM기능을 통해 삭제된 파일은 복구가 어렵다.- 특정 명령어를 통해 자동 TRIM 기능을 활성 및 비활성 할 수 있음- SSD의 파일쓰기 성능 저하를 막기 위해 등장

HKEY_CLASS_ROOT파일 확장자에 대한 정보와 각 프로그램 간의 연결정보 HKEY_CURRENT_USER윈도우가 설치된컴퓨터 환경 설정에 대한 정보 HKEY_LOCAL_MACHINE설치된 하드웨어와 소프트웨어 설치 드라이버 설정에 대한 정보 HKEY_USERS데스크탑 설정과 네트워크 환경에 대한 정보 HKEY_CURRENT_CONFIG실행 시간에 수집한 정보