| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 항등함수
- 신경망 학습
- 달고나bof
- C알고리즘
- 버퍼오버플로우
- FTZlevel10
- 소프트맥스함수
- 활성화함수파이썬
- 8086CPU레지스터
- 딥러닝
- 신경망파이썬
- 스트림암호
- 보안
- 파이썬신경망
- 딥러닝파이썬
- C언어알고리즘
- 정보보안
- 백준알고리즘
- 파이썬
- 신경망구현
- BOJ
- 밑바닥부터시작하는딥러닝
- 머신러닝
- C언어 알고리즘
- 백준
- 알고리즘
- BOF
- 인공지능
- 신경망
- c언어
- Today
- Total
목록<Project> (27)
HeeJ's
[02] 프로세스 이동 :: Anti Memory Forensics/Volatility
우회에 사용할 sample.vmem을 볼라틸리티로 열어주었다. ps() 명령어로 활성화되어있는 프로세스들을 확인해주었다. 여기서, System 프로세스의 offset을 이용해 EPROCESS 구조체를 확인해보려고 한다. 구조체 중, 0x188에 위치한 ActiveProcessLinks에 주목해야 한다. EPROCESS 안에 있는 ActiveProcessLinks의 Flink, Blink를 통해서 다른 프로세스로 이동하기 때문이다. LIST_ENTRY는 Flink와 Blink로 이루어져 있고, Flink는 다음 프로세스를, Blink는 이전 프로세스를 가리키는 포인터이다. 이제, System 프로세스의 LIST_ENTRY를 확인해보자. 다음 프로세스인 smss.exe로 이동하기 위해 Flink값을 사용해서..
[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility
Volatility? 파이썬 기반의 오픈 소스 메모리 포렌식 툴 CLI 인터페이스를 제공한다. 플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용 가능 Volatility 플러그인 pstree : 프로세스를 트리구조로 출력 pslist : 프로세스 리스트 출력 (가상 주소) psscan : 프로세스 리스트 출력 (물리적 주소) psxview : 프로세스 은닉 탐지를 위해 다양한 방식으로 프로세스 등을 조회 procdump : 프로세스 실행파일 추출 memdump : 프로세스가 사용한 전체 메모리 영역 덤프 filescan : 메모리상의 파일 오브젝트 전체 검색 hivelist : 메모리상의 파일 cmdscan : cmd에서 실행한 명령어 확인 cmdline : cmd에서 실..
안티 포렌식이란 디지털 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 훼손하거나 차단하는 일련의 행위를 말한다. 최근에는, 안티포렌식을 자동화해주는 안티포렌식 전문 도구들도 등장하고 있다. ▷안티 포렌식의 목적 탐지를 회피하거나 정보 수집을 방해한다. 수사관의 분석 시간을 증가시킨다. 안티 포렌식 툴이 돌아가는 동안 증거를 남기지 않는다. 디지털포렌식 도구가 동작하지 못하도록 하거나 오류를 발생시킨다. 범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제한다. 법정 보고서나 증언으로서 가치가 없도록 증거를 훼손시킨다. ▷안티포렌식 기법 데이터 파괴, 데이터 암호화, 데이터 은닉, 데이터 조작, 풋프린트 최소화, 분석 시간 증가 1. 데이터 파괴 ..