Tuesday, January 8, 2019

EXT2 파일 시스템 분석 실습

2019-01-08

EXT2 파일 시스템

   분석 및 복구

      조사자 PC

       1. Root 하위폴더에 4000byte, 8000byte, 40000byte 파일 만든 거 확인
       2. 삭제후 변화되는 부분확인
            TOOL : DirectoryEntry, Inode
       3. 증거수집 / 분석
            TOOL : FTK Imager, Autopsy(sleuthkit)

1. /home2 의 txt파일 확인

 [ Root Direcotry Entry ]
4000byte 파일 Directory Entry
Root Direc.부터 0x0b만큼 이동 = 12번째 (1119->1125) 
2 INODE Per A Sector ->12번째면 6섹터를 이동하고 해당 섹터의 2번째 Inode Table 위치


[ 0x1008 =4104*8+63=32895sector ]


[ 내용 ]



[ 400byte이상이라 8개 섹터 사용 ] 





2. 


[ 4000byte삭제 ]


INODE가  0x0E -> 0x00으로 바뀜


[ INODE ]
Deleted Time , Hard Link Count 가 바뀜


3.


[ FTK Imager ]


[ autopsy ]


[ 내용도 확인 ]

at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

List

MobSF

MobSF는 오픈소스 모바일 앱 자동 보안 진단 프레임워크로 자동 분석 시스템 구축할 때 사용한다. 정정 및 동적 분석이 가능하며, Android, iOS, Windows에 대해 침투 테스트, 멀웨어 분석 및 보안 평가를 할 수 있다. 참고자료 필...

  • EXT2 File System 분석
    2019-01-07  EXT2 파일 시스템 [아래 내용의 환경] CentOS 6  3GB-HDD, 2GB-파티션 EXT2 Format NewMonday.txt 파일,  10글자내용 -> powero...
  • 칼리를 이용한 무선랜해킹
    무선 랜 해킹  Wireless LAN Hacking : wifi 해킹 Wireless Wireless network 공기로 연결 : 주파수신호로 Data 송수신 IEEE  802.11 ISM Band Ind...
  • Back door Source for C++
    2018-12-10 C++ 소스코드를 이용한 백도어 연결 시스템 종료 , 재시작        1. API를 활용하는 방법 LookupPrivilegeValue / AdjustTokenPrivileges / ExitWindo...