'-')!b

문제- 수사관이 iCloud 계정에 로그인할 수 있다면, 이와 연동된 다른 Apple 서비스에 접근 가능하여 수사에 유용할 수 있음 - 그러나 iCloud는 1단계 및 2단계 인증을 요구하므로, 계정 접근이 어렵고, 추가 인증을 위한 기기 확보 필요 해결- Windows 환경의 활성/비활성 상태 시스템에서 로컬 저장소 및 물리 메모리 분석을 통해 2단계 인증을 우회할 수 있는 iCloud 인증 정보 추출 방법 소개 - 이를 반영한 iCloud 디지털포렌식 수사 절차 제안 - 가상 시나리오 구성 개념[Windows DPAPI]- Windows Data Protection API의 약어로, Windows에서 제공하는 암호화 서비스를 구성하는 CryptAPI의 한 종류- 사용자 인증정보(웹사이트 비밀번호, 자..

1. 종합 분석FTK ImagerX-Wayshttps://ccibomb.tistory.com/1181Magnet AXIOMAutopsyEnCase2. 아티팩트[ESE database]ESEDatabaseViewESEDBViewer: API 기반 도구ESECarve: WebCacheV01.dat과 Windows.edb 파일만 삭제된 레코드 복구 가능- WebCacheV01.dat: 인터넷 사용 기록 및 캐시 파일 정보 등을 보관 - SRUDB.dat: Windows에서 시스템 리소스 사용량을 추적하는 SRUM(System Resource Usage Monitor)의 데이터베이스 파일로, 네트워크 사용량, 앱 사용 기록, 배터리 소모량 등을 기록 - Windows.edb: windows + s 커맨드 혹은 ..

동일한 MAC 주소로 여러 IP를 사용하여 특정 IP를 공격eth.addr == AA:BB:CC:DD:EE:FF ------> ARP 스푸핑 / ARP 포이즈닝- 특정 MAC에 대해 여러 개의 IP를 사용하여 스위치/라우터 또는 호스트의 ARP 캐시를 조작- 공격자는 가짜 ARP 응답을 지속적으로 보내 타겟이 공격자의 MAC을 신뢰하도록 유도  -----> IP 충돌- 동일한 MAC을 여러 개의 IP에 할당하여 IP 충돌을 유도하거나 동일한 MAC을 등록하여 ARP 테이블을 계속 갱신, 과부하 발생  [ARP 테이블 분석]arp && eth.addr == AA:BB:CC:DD:EE:FF- 특정 MAC 주소에서 발생하는 ARP 요청 및 응답 패킷을 분석하여 비정상적인 IP 할당을 확인

ftyp 컨테이너파일 타입과 파일 호환 포맷 내용 mdat 컨테이너각 track에 따라 실제 비디오, 오디오 스트림 데이터를 포함, 비디오와 오디오 채널별로 2개의 mdat 존재 가능, 1개의 mdat에 2개의 채널이 순차적으로도 존재 가능  moov 컨테이너컨텐츠에 대한 정보와 재생 기능 지원Sync 정보 및 파일 재생을 위한 모든 정보가 포함파일이 포함하는 모든 동영상 스트림 데이터 개수만큼 track 정보가 보관되기에 영상에서 비디오와 오디오 채널 등에 대한 정보를 확인 가능

보호되어 있는 글입니다.

GPT가 필요한 이유 GPT 구조0번 섹터에 MBR1번 섹터에 Primary GPT Header2번 섹터부터 Primary Partition Entry실제 파티션Backup Partition EntryBackup GPT Header  Primary GPT Header0x1D1C596F == 488,397,167번 섹터에 백업 헤더 존재0x1D1C594E == 488,397,134번 섹터에 Last usable LBA 존재 (즉, 488,397,135번 섹터에 백업 파티션 엔트리 존재)0x2 == 2번 섹터가 Starting LBA of Entries따라서 2번 섹터를 확인  Primary Partition Entry  각각 파티션의 First LBA, Last LBA 즉 파티션 시작 섹터와 끝 섹터를 나..

보호되어 있는 글입니다.

H.264- GOP가 압축의 기본 단위로 사용됨  GOP- I-frame, P-frame, B-frame으로 구성됨 I-frame P-frame B-frame- 양방향 예측 프레임 이중 압축 (DC, Double Compression) - 재인코딩(포맷 변환, 해상도 변경), SNS 공유, 영상 편집 등에 따라 이중 압축 발생 가능  [Bit rate 종류]CBR (Constant Bit Rate)- 인코딩 방식 중 하나- 전송 또는 저장되는 데이터의 비트율이 일정하게 유지되는 방식 - 일정한 비트율이므로 스트리밍에 적합하고, 버퍼링이 최소화되어 사용자에게 굿  VBR (Variable Bit Rate)- 데이터 복잡도에 따라 비트율이 변하는 방식으로, 복잡한 장면에서는 높은 비트율, 단순한 장면에서는 ..

생성형 AI - 생성형 AI로 만든 사진, 영상 등으로 인한 사회적 부작용이 증대 - 특히 딥페이크 콘텐츠의 경우, 범죄로 이어지는 경우가 多 - 주요 선거를 앞둔 만큼 생성형 AI 규제 가속화 - 기업들이 내년 대선에서 딥페이크 등으로 발생할 문제를 회피하려구 강화 중 (??) 워터마크 기술 - 문서, 이미지, 영상 등과 같은 디지털 콘텐츠에 보이지 않는 데이터를 삽입하여 저작권 보호, 보안, 인증 등에 활용 - 원본 출처와 관련된 정보 추적 용이 생성형 AI와 워터마크 - 구글: 챗봇 Gemini(Bard)가 형성한 이미지에 딥마인드가 개발한 Synth ID를 적용. Synth ID는 AI만 인식 가능한 픽셀 단위의 흔적을 남겨 AI 생성물 여부 확인 가능한 비가시적 디지털 워터마크로, 워터마크 부분..

[ DESCRIPTION ] 채용 담당자의 가상 PC에서 의심되는 트래픽이 감지되었다. 문제가 되는 VM의 메모리 덤프는 이미징 및 분석을 위해 네트워크로부터 제거되기 전에 캡처되었다. 채용 담당자는 이력서와 관련하여 누군가로부터 이메일을 받았다고 한다. 해당 이메일 사본이 복구되어 참조용으로 제공된다. 악성 코드의 소스를 찾아 디코딩하여 플래그를 찾자. [ SOLVE ] 문제에서 주어진 파일은 위와 같다. flounder-pc-memdump.elf : 메모리 덤프 파일 imageinfo.txt : imageinfo 플러그인 실행 결과 파일 Resume.eml : 이메일 사본 eml 파일의 내용은 위와 같다. 이력서 봐달라는 메일인데, 링크가 첨부되어 있다. 해당 링크를 통해 감염된 것으로 추측되므로 이..