'분류 전체보기'에 해당되는 글 35건

  1. 2010.01.19 IE 0-Day Exploit (Aurora IE Exploit) - metasploit 1
  2. 2010.01.08 Prefetch Header 분석 4
  3. 2010.01.06 RussKill
  4. 2009.09.11 F-response 설명서
  5. 2009.09.02 Thumbs.db을 통한 사진파일 복구 3

IE 0-Day Exploit (Aurora IE Exploit) - metasploit

etc 2010. 1. 19. 03:02 |
MS 1월달 보안패치가 나온지 몇일 되지도 않았는데 IE 0-Day가 떴네요
취약한 IE버전은 IE5이상 모든 버전이라고 하지만 실질적으로 SP3에서 IE7, IE8은 크래쉬만 일어나네요
(10번 시도에 10번다 크래쉬 // 그렇다고 0%라고 할 수 없는겠죠 - heapspray라서, 사용하는 메모리가 랜덤한 영역에 위치할경우 공격이 통하지는 않겠죠;)
테스트했던 IE6의 경우 10번중 8번 실행되네요


또한, IE8같은경우는 DEP(Data Excution Prevention-데이터 실행 방지) 부분이 디폴트로 적용되어 있어
활성화 되어 있는 경우 임시적으로 공격을 막을 수 있다고 합니다.
사용자 삽입 이미지


다음은 metasploit에서 실행시킨 결과입니다
사용자 삽입 이미지


해당 통신내용의 exploit 코드는 다음과 같습니다. 전형적인 Heapspray로 파악됩니다.
사용자 삽입 이미지

사용자 삽입 이미지

긴급으로 MS에서 패치하지 않는 이상
해당 코드는 현재 v3,알약,바이로봇등으로 탐지가 안되니 IE8로 업그레이드를 수행하시는 것이 좋을 것 같습니다

이제 어떤 DLL의 어떤 함수가 문제가 되는지 찾아봐야 할 것 같네요
올리랑 놀때가 된 것 같습니다.
Posted by 궁상박군
:

Prefetch Header 분석

Header 가지고 놀기 2010. 1. 8. 04:49 |

일전에 악성코드 분석하다가 Prefetch(이하 한글로 쓰죠~)에 대해서 완전 잘못알고 있다가 낭패를 본 경험이 있습니다

프리패치란 윈도우 부팅될때 윈도우가 사용할 파일들을 메모리에 올리는 것이고, 많은 윈도우 부팅시 지렁이(?) 지나갈 때 느리게 하는거군 이라고만 생각하고 있다가, 악성코드 리버싱 하는 도중에 Filemon 띄어놓고 있다가 pf파일을 만들길래 헉! pf만들어서 윈도우 부팅될때마다 실행되게 하려는구나! 라고 어처구니 없는 생각에 엄청난 삽질을 거듭했죠..;;

결론적으로 뭐 틀린말은 아니지만 위의 문단에서 가장 틀린 부분은 pf를 만든다고 윈도우 부팅될때마다 실행되는건 아니라는 것이지요. 프리패치는 사용자가 윈도우 사용중 어떤 특정 파일을 실행시킬때도 생성하게됩니다-제가 잘못 알고 있던 부분이죠-프리패치 이것도 구조가 꽤 복잡하고 뭐 그렇습니다.

먼저 prefetching이란 windows xp 이후부터 나오는 기술로 어원그대로 '先꺼내기(?)'정도로 해석할 수 있겠습니다.
 (비스타부터는 슈퍼패치라는 기술로 바뀌었어요~)
이때 Prefetching때 사용하는 파일이 프리패치파일이라고 하죠

1. Prefetching이란 Application들의 성능 향상을 위해서 구동에 필요한 데이터들을 메모리에 먼저 올려놓게 하는 것
2. Prefetch란 Prefetching시 사용하는 파일로 메모리에 올려놓으려는 정보를 담고 있는 파일을 말합니다

사용자 삽입 이미지

풀어서 설명하자면 하드디스크를 엑세스 하는 시간이 길어지면 길어질수록 '느리다'라고 할 수 있으니 그러한 작업을 최소화 하고자 데이터를 미리 메모리에 올리는 기술이라고 할 수 있습니다.
그림 아래로 내려갈수록 엑세스 속도가 느려지는 것을 확인할 수 있죠

(아.. 이 그림이 요기잉네? //컴퓨터 개론,구조,운영체제등등 다 포함되는 또 이 그림이야! 라고 하실만 하실테지만서도 이해를 돕고자..)





그렇다면 네이버 지식인님에서 자주 올라오는 "윈도우 부팅속도가 느린데 어떻게 해야하죠" 라는 답변에 "프리패치를 지우세요" 라고 답변 달아주시는 분들은 어떤생각 일까요?

물론, 윈도우는 한번이라도 실행했다면 해당 파일에 pf를 만듭니다. c:\windows\prefetch\에 들어가보시면 알겠지만, 윈도우 업데이트 받았던 것, 이런 파일도 내가 실행시켰던가? 라는 생각이 들 정도로 많은 파일들이 존재하죠

사용자 삽입 이미지

따라서, 프리패치를 지워주는 것이 어떻게 생각하면 좋을 수도 있겠죠;
위의 그림에서 보시면 알겠지만 프리패치 파일은 application_name-hash.pf 형태로 이루어져 있습니다.
(hash에 관한 정보는 다음에 올리겠습니다)

여하튼 프리패치 파일은 사용자의 삭제가 있기전까지는 절대로 지우지지 않습니다. 따라서 침해대응이나 포렌식 관련하여 중요한 정보가 된다고 합니다. 한가지 예로 침해사고가 발생시 해당 시간의 MAC 타임으로 파일들을 검색하였을 경우에 만들어진 프리패치가 있다면, 원본파일이 지워졌어도 공격자가 이런 것을 실행했었구나 얼추 계산할 수 있죠.


포스팅 내용은 이게 아니었는데 사설이 길었군요
그렇다면 본격적으로 프리패치 파일에 어떤 내용이 담겨있나 확인해보겠습니다
(사용된 이미지는 Windows XP SP2, 사용 프리패치는 노트패드로 하였습니다.)

먼저 Winhex로 해당 프리패치 파일을 오픈하였습니다.
1) 0x00 -> prefetch signature

사용자 삽입 이미지
위의 Drag된 8바이트 부분이 프리패치의 header signature 입니다. 시그니처이기 때문에 바뀔일이 없겠죠?


2) 0x58 -> 해당 파일을 실행하기 위해서 메모리에 올라와야할 파일들의 수
(바인딩 될 DLL도 있고 부수적으로 실행되야하는 exe파일, nls, ime, sdb등등)의 개수를 나타냅니다.
사용자 삽입 이미지
위의 값인 0x25 / 십진수로 바꾸면 총 36개의 파일들이 notepad 실행될 때 사용되네요


3) 0x64 -> 메모리에 올려야할 파일들의 목록이 있는 곳의 offset 값
사용자 삽입 이미지

Endian방식에 따라 00 00 29 38 offset 값으로 이동해보죠
사용자 삽입 이미지
어떤 파일들이 메모리에 올라와야 할지 확인할 수있습니다


4) 0x68 -> 메모리에 올라와야 할 파일들의 총 길이
사용자 삽입 이미지

뭐.. 예상하셨겠지만, OS에게 어디까지가 메모리에 올려야 할 부분이야 라고 알려줘야겠죠?
위의 Drag된 부분이 그 값이지요. 0x64 번지의 offset값이 가르치는 부분에서 떨어진 만큼의 값이니 이동해봅시다
(00 00 29 38 + 00 00 0F FA 부분으로 가시거나 00 00 29 38에서 go to offset 하셔서 current position으로 이동하셔도 되겠죠)
여하튼 00 00 39 32 로 이동하게 되는데 다음 그림처럼 끝 부분인 것을 확인할 수 있습니다.
사용자 삽입 이미지


5) 0x6C -> Volume Infomation Block
사용자 삽입 이미지

해당 부분은 사용되는 컴퓨터의 디스크 정보 부분입니다. 우선 이동해보죠
사용자 삽입 이미지

첫부분의 4Byte 00 00 00 28은 Volume Infomation Block의 offset값을 나타냅니다 0x28 을 십진수로 바꾸면 40이니
Drag된 부분이 Volume Infomation Block이네요.
해당 부분은 정리가 아직 덜 끝나서 몇일 후에 다시 포스팅 하기로 하고 한가지 부분만 살펴보고 넘어가겠습니다.
Volume Infomation Block부분만 따로 떼어서 0x08부분을 확인해보죠
사용자 삽입 이미지

결론부터 말씀드리면 위의 Drag한 8Byte 부분이 Volume 최초 생성 시간이 되겠습니다.
사용자 삽입 이미지
이 밖에도 Volume Serial Number, 폴더 경로의 offset, 폴더 경로의 수등 다양합니다. 해당 정보는 정리되는데로 포스팅 하겠습니다.


6) 0x78 -> 마지막 실행 시간
사용자 삽입 이미지
해당 8byte 부분이 XXX-hash.pf 의 XXX가 마지막으로 실행된 시간입니다.
마찬가지로 decode date로 돌려보면
사용자 삽입 이미지
위와 같은 시간을 얻을 수 있습니다.


7) 0x90 -> 실행 회수
사용자 삽입 이미지
vmware로 스냅샷 돌리면서 사용하니까 notepad를 4번밖에 사용안했네요 ㅎㅎ
이 걸로 내가 wow를 몇번이나 접속 했는지를 알아낼 수 있는!!!!....쿨럭(물론 더 좋은 방법도 많습니다)


물론 공부할때는 수동으로 이렇게 하나하나 보는 것이 더 도움이 되긴합니다만,
바쁜데 이렇게 사용할 수도 없는 노릇이고
그래서 역시나 이런 것을 자동으로 보여줄 수 있는 툴이 있죠

소개해 드릴 툴은 "WinPrefetchView"라는 툴입니다
사용자 삽입 이미지
해당 툴은 자동으로 c:\windows\prefetch 부분에 있는 pf파일을 읽어옵니다(다른곳에 있는 pf는 못읽어요)
위의 그림에서 1번 부분이 프리패치 파일 목록이며
2번 부분이 해당 프리패치에 기록된 선택된 application이 실행될 때 메모리에 올려진 부분이며
3번은 프리패치 파일 선택 후 우 클릭 Properties를 선택했을 때 나타나는 부분입니다.


참~! 그래도 프리패치를 사용하고 싶지않다 하시는 분들은
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters EnablePrefetcher 값을
0으로 설정해주시면 됩니다.
0 : 사용안함
1 : Application 만 사용
2 : Boot 할 때 사용되는 것만 사용
3 : 그냥 둘 다 사용 <-- 이게 디폴트 설정값이죠


프리패치때문에 삽질했던 기억 때문에 포스팅해봤는데
다른분들한테 도움이 되었으면 좋겠네요 ㅎㅎ

'Header 가지고 놀기' 카테고리의 다른 글

winDBG로 Process 리스트 및 Process 검증하기  (0) 2011.03.11
PE구조 알아보자  (0) 2011.02.10
Thumbs.db을 통한 사진파일 복구  (3) 2009.09.02
Posted by 궁상박군
:

RussKill

Malware Analysis 2010. 1. 6. 05:55 |
 
   1.개요

  악성코드를 분석할 때는 항상 해커들의 입장에서 분석하려고 노력한다. 따라서 서비스 공격이나, 서비스거부공격, 웹해킹등을 간단하게 할 수 있는 방법이 없을까? 혹은 많은 사용자들에게 감염시킬 수 있는 방법이 없을까에 대해서 항상 질문하고 방법을 찾는데, 이번에 분석한 악성코드 역시 그러한 생각 때문에 찾은 악성코드이며, 12 17 Opensive Computing RussKill. Application to perform denial of service attacks 라고 소개되었으며, 아직 국내 사이트에서 다룬적이 없는 악성코드이다. -어려운 것도 아니고 그냥 보통의 악성코드와 비슷하다- 따라서 탐지명을 RussKill로 가정하고 진행한다.

 

  
2.RussKill이란.
 
  RussKill DoS(혹은 DDoS) 발생시킬 있는 툴로서 기능들이 Opensive Computing에서 소개하듯이 Extremely 정도로 간편화 되어 사용할 있으며, C&C서버도 자동으로 구성하여 타겟을 지속적으로 바꿀 있다(실질적으로 분석하는 도중에도 여러 도메인으로 계속 바뀌었다).

 또한, RussKill HTTP-Flooding, SYN-Flooding 공격을 수행할 있으며, 공격자가 서버에서 시간당 발생패킷을 지정하여 PPS 조절할 있다. 모든 과정이 모두 마우스 클릭으로 바로바로 이루어진다.

 

  3. 공격 시나리오

사용자 삽입 이미지

Attacker RussKill을 웹서버에 구동한다.(이 과정에서 악성코드과 Target Server가 설정된다)

Victim들이 악성코드를 다운로드한다. (본 공격의 효율성을 위해서는 상관없는 여러 사이트들에

   감염시키는 것이 좋으나, 현재는 모두 한곳에서만 다운로드 한다.)

③ 악성코드에 감염된 사용자가 C&C서버로 접속한다. 여기서 C&C Web서버의 php페이지이다.

④ 감염된 Victim Group들이 설정된 C&C서버에서 전달받은 서버로 공격을 수행한다.

Victim Group들은 지속적으로 C&C서버로(설정값에 따라 시간변동) 접근하여 변경내용을 확인한다.

Attacker Victim의 개수를 파악하고 공격의 중지 혹은 Target Server를 변경할 수 있다.


4. 악성코드 분석

  실제적으로 google 통해서 찾은 악성코드는 www.kimosimotuma.cn/999/wihpg.exe 지만, malwareurl.com이나 malwaredomainlist.com 통해 찾은 Russkill관련 도메인은 다음과 같다.

사용자 삽입 이미지

[그림1] malwaredomainlist.com에서 신고된 domain

 

  Kimosimotuma.cn atatata.org, glousc.com 3개의 도메인 모두 중국 IP이며, atatata.org glosc.com IP 115.100.250.107이었으며, kimosimotuma.cn 115.100.250.104 마지막 IP 다른걸 봐서는 공격자가 같을 것이라고 추측할 있다.(이를 증명하는 것은 뒤에도 나오므로 차후에 설명하기로 한다)

 

1)     www.glousc.com/hellotobad/hellotobad.exe 다운로드

 

사용자 삽입 이미지

[그림2] 악성코드 다운로드

 

 

2)     바이로봇 탐지내역 확인

 

사용자 삽입 이미지

[그림3] 바이로봇 탐지결과

 

  바이로봇뿐만 아니라 virustotal.com에서 돌렸을 경우 대부분의 백신에서 탐지를 하지만, 수많은 악성코드의 변종으로 검사된다.

그중에서 Microsoft, AntiVir, eTrust-Vet 경우 Ruskill 탐지한다.(발빠르게 대처한건가?)

 

3)     Wireshark 구동 악성코드 수행

사용자 삽입 이미지

[그림4] 패킷 확인 결과

Glousc.com에서 받은 hellotobad.exe glousc.com/hellotobad/r.php 접속 다른 도메인으로 SYN 패킷을 발생시켰으며, kimosimotuma.cn에서 받은 wihpg.exe kimosimotuma.cn
/999/r.php 접속 다른 도메인으로 SYN패킷을 발생시켰다. 또한, 두개의 악성코드 모두 서비스에 등록하여 재부팅시 두개 모두 kimosimotuma.cn/999/r.php 접속하여 Target Server 가져오는 것을 확인하여 공격자가 동일한 것으로 가정할 있다.

  r.php Follow TCP Stream으로 확인한 결과 다음과 같았으며 r.php 접속하여도 같은 결과를 있다.

사용자 삽입 이미지

[그림5] Follow TCP Stream


사용자 삽입 이미지

[그림6] glousc.com/hellotobad/r.php

사용자 삽입 이미지

[그림7] atatata.org/888/r.php

사용자 삽입 이미지

[그림8] kimosimoutma.cn/999/r.php

그림6,7,8에서 확인하였듯이 각각의 서버마다 지정해놓은 Target Server 달랐으며, 실질적으로 분석을 수행할 가끔씩 Target 바뀌었으며 그때마다 r.php 바뀌어 있었다. 또한, r.php로만 주기적으로 접근을 시도할뿐 Target Server 패킷을 잠시 안보낼 경우도 있는데, 경우 역시 공격자가 임의적으로 Stop 걸어놓았다고 가정할 있다.

SYN Packet 발생시키는 것도 분석할 때마다 초당 많게는 5,000 적게는 100 PPS정도 발생되었다. 역시 공격자가 임의적으로 조작한 것으로 추정된다.                                       

사용자 삽입 이미지
                                                      [그림9] SYN Packet 발생

 

4)     Reversing

사용자 삽입 이미지
                                                [그림10] ASPack 2.12 Packing

 

해당 코드는 ASPack 의해 Packing되어 있어서 자세한 구조를 확인하기 어려워 Unpacking 수행하여 해당 코드를 살펴보았다. 

사용자 삽입 이미지
                                      [그림11] c:\windows\system32\winsrir.exe 생성 부분 

해당 악성코드는 두개 모두 c:\windows\system32\winsrir.exe 생성하였으며, 외에는 파일 생성 하는 과정이 없었다.

사용자 삽입 이미지
                                                [그림12] 레지스트리 수정 부분

 

위의 함수에서 실질적으로 레지스트리를 수정 키값을 생성하며 목록은 다음과 같다

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR\0000

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR\0000\Control

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir\Security

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir\Enum

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR\0000

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR\0000\Control

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir\Security

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir\Enum

위의 목록중 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir에서 윈도우 서비스에 등록된다.

사용자 삽입 이미지
                                        [그림13] 서비스 등록 부분

 

위의 레지스트리 편집기에서 DisplayName 부분이 한문으로 깨져서 나오지만 실질적으로 등록된 서비스를 확인해보면 Services Windows Controller 동록 된다.

사용자 삽입 이미지

[그림14] 서비스 등록



5. RussKill 정보

  Russkill이라는게 소개된지도 얼마되지 않았기 때문에 관련된 정보가 많지 않다. 실제적으로 http://planety-hackeram.ru 라는 러시아 해킹툴 다운로드사이트에서 관련된 자료를 다운로드할 있는것으로 파악되는데 사이트를 번역해가면서 가입해본 결과 wmz(webmoney) 요구한다.

Opensive computing이나 최초발견자들의 개괄적인 분석내용을 살펴보면 다음과 같은 그림들을 확인할 있는데 여기서 개괄적인 정보를 유추할 있다. Online이란 현재 r.php 접속해서 받아가는 Victim 수이며, URL Target-server, 초당 packet 발생 , 공격의 중지 혹은 target server 변경등이 가능한 것으로 보인다.

사용자 삽입 이미지

[그림15] Russkill 정보#1

사용자 삽입 이미지

[그림16] Russkill 정보#2

 

공격에 대한 셋팅이 이루어지므로, 웹서버 어떤 페이지는 로그인하는 화면이 있을 것으로 생각하고 blind 페이지를 요청해보았으며 다음과 같은 로그인 창을 찾을 있었다.

사용자 삽입 이미지

[그림17] Russkill 로그인 창

 

(Brute Force의 욕구가 잔뜩)  

 

기존에 해외에서 신고된 도메인의 URI 기본적으로 /연속된숫자3자리/r.php 이다. 물론, 공격이 여러건 나온 것이 아니니 Russkill default 설치하면 저렇게 것이다 가정하였을 경우 패턴의 입력이 가능하다. 하지만 snort 경우 /\[0-9]{3}\/[Rr]\.[Pp][Hh][Pp] 같은 형식으로 정규식 써서 등록이 가능하지만 Sniper는 정규식이 안먹으니 패스~

### r.php로 접속했을때 target server 주소 앞에 숫자|숫자|숫자|숫자 되어 있는 부분에 따라서
공격의 수행여부(혹은 중단) 패킷의 발생빈도 이런걸 나타내는데 2,4번째 필드부분을 아직 못찾아서;
또 삽질을 해야하나;;


'Malware Analysis' 카테고리의 다른 글

악성코드 분석을 위한 스크립트 만들기!! #1  (1) 2011.01.13
악성코드 수집  (0) 2010.03.21
Posted by 궁상박군
:

F-response 설명서

Forensics 2009. 9. 11. 01:36 |
<개요>
F-response란 포렌직 툴로서 원격에 있는 하드를 이미지처럼 불러와서 읽어 들일 수 있는 기능을 가진 툴이다, encase같은 경우 이런 원격을 통해 접근할  수 있는 솔루션이 있지만 가격은 상상을 초월하는 가격이므로 어지간한 기업이나 사용자가 아니면 손도 못댄다 하지만 그 가격의 몇십분의 일로 원격기능을 수행할 수 있는 툴이 바로 이 f-response이다 동글이 없으면 사용은 못하지만 사용해본 내역을 적어서 올려 볼까한다 .

1. 설치전 유의사항
   - 계정암호 설정

사용자 삽입 이미지

암호가 존재하지 않으면 연결이 되어지지 않는다 default로 무조건 암호를 지정하여야만 조건이 성립하므로 test시 암호를 꼭 설정해 준다(OS마다 설정해주는 경로는 다를 수 있으므로 유의한다) 경로는 제어판 -> 사용자 계정 및 가족 보호 -> 사용자 계정 에서 확인 하면 된다
 
   - Secpol.msc 설정
사용자 삽입 이미지

실행 창에서 로컬 보안 정책으로 들어가도록 한다
사용자 삽입 이미지

로컬 정책 -> 보안 옵션 -> 네트워크 엑세스 : 로컬 계정에 대한 공유및 보안 모델을 일반으로 맞추어 준다

   - 윈도우 7설정

사용자 삽입 이미지

원격지 OS가 윈도우 7일 경우 제어판 -> 시스템 및 보안 -> Windows 방화벽 -> 설정 사용자 지정으로 들어가  홈 또는 회사(개인) 네트워크 위치 설정에서 방화벽을 풀어준다 7 이외의 xp이상 버전을 가진 OS는 방화벽 설정을 따로 하지 않아도 사용 가능하다
 
   - 리눅스
사용자 삽입 이미지

F-Response가 설치된 폴더로 이동하면 버전 별로 바이너리 코드가 들어 있다 리눅스 경우에는
f-response-ce-e-lin을 리눅스 상에서 실행하면 동작 가능하다

   - 서버에서 실행 상태

사용자 삽입 이미지

SERVER PC에서 TCP 포트로 5681이 Listening중인 것을 확인 할 수 있다
사용자 삽입 이미지

Host(server)에서 설정 해놓은 포트가 Remote에서 열리면서 ESTABLISHED 상태가 되는 것을 확인 할 수 있다
 

2. 설치
사용자 삽입 이미지

Next를 여러 번 눌러서 진행을 한다
사용자 삽입 이미지

XP 왕 2003에서 구동할 때 필요한 셋업 파일을 온라인을 통해 받아 온다
사용자 삽입 이미지

해당 사항에 맞는 버전을 설치한다 필자는 Initiator-2.08-build3825-x86fre.exe를 설치하겠다
사용자 삽입 이미지

Next를 누르며 진행한다


3. F-response 실행

사용자 삽입 이미지

F-Response Enterprise Management Console를 실행하면 이러한 창이 뜬다 file -> configure로 들어가 보자
사용자 삽입 이미지

이러한 창이 뜬다 Cancel을 누르고 나간다 설치한 같은 폴더에 F-Response License Manager Monitor 프로그램을 실행하자
사용자 삽입 이미지

F-Response License Manager Monitor는 일종의 서버를 구성하는 것이라고 보면 된다
Install을 누르고 start로 서버를 진행 시켜보자
사용자 삽입 이미지

Start를 누르면 왼쪽 컴퓨터의 그림 중에 F가 빨강에서 파랑으로 바뀐다 이제 F-Response Enterprise Management Console로 돌아가서 configure을 만져보자
사용자 삽입 이미지

F-Response License Manager Monitor 모니터에서 설정해준 IP를 넣어준다
TCP 포트는 Default값인 5681로 하여도 무방하니 default로 설정하겠다
사용자 삽입 이미지

Service Name : F-response service(일종의 이름이므로 아무렇게나 써넣어도 무방하다)
Executable : 설치한 곳의 PATH에서 enterprise 실행 파일을 선택한다
사용자 삽입 이미지

# Add를 눌러서 추가하면 아래에 추가내역이 들어가게 된다
사용자 삽입 이미지

Scan Network by IP Range로 들어가 범위를 넣어주고 스캔을 시작하자
사용자 삽입 이미지

필자는 100~101까지 범위를 주었지만 실제 테스트에서는 해당하는 IP대역을 조사하면 된다. 도메인이 있을 경우 Scan Network by Domain을 택하면 되고 테스트 서버가 한 개일 경우에는 Direct  Connect로 바로 접속 하면 된다
사용자 삽입 이미지

스캔이 다 되었으면 위와 같은 화면이 나타나며 해당 IP에 Install과 start를 눌러서 연결 가능하게 만들어 준다
사용자 삽입 이미지

Start후에 Issue Discovery Request를 눌러서 connect 정보를 갱신하자
사용자 삽입 이미지

Issue Discovery Request 후에 connect 탭으로 옮겨서 login to F-Response Disk를 눌러서 가상의 디스크를 불러 올 수 있게 만든다
사용자 삽입 이미지

Login 된 것은 connected로 바뀐다 이제 x-way로 해당 디스크를 물려 보겠다
사용자 삽입 이미지

Open Disk를 눌러서 디스크를 지정한다
사용자 삽입 이미지

해당 드라이브가 마운트가 된 것이 확인된다 열어보도록 하겠다
사용자 삽입 이미지

모든 디렉토리까지 인식하는 것으로 보아 정확히 접근하여 정보를 가져오는 것으로 확인되었다


4. Consultant Ver
사용자 삽입 이미지

File -> create autoconfigure를 선택한다 기존에 입력하는 것은 위에 내용과 다르지 않으며 F-response Consultant Executable부분만 다르므로 이 부분만 다루도록 하겠다
Browse를 눌러서 실행할 파일을 선택한다 선택 후 저장할 곳을 지정한 후 확인하면 아래와 같은 파일이 생성된다
사용자 삽입 이미지

ini 파일에는 설정된 내용이 저장되어 있다 이제 이 실행파일과 설정파일을 클라이언트 PC에서 실행 하면 F-response에서 읽어 들이고 저장매체에 접근이 가능해진다
사용자 삽입 이미지

이 화면이 클라이언트에서 실행된 화면이다 start를 눌러서 실행한다
사용자 삽입 이미지

이 화면은 서버에서 Active를 확인하여 issue까지 맞춘 화면이다 이런 식으로 consultant도 접속이 가능하다

'Forensics' 카테고리의 다른 글

x-way forensic으로 파일 복구하기  (0) 2010.09.24
정규표현식 2회  (0) 2010.04.05
쓸만한 무료 웹 스캐너 Skipfish  (0) 2010.04.05
ASP Webshell  (0) 2010.03.18
재미있는 정규표현식 1회  (1) 2010.03.17
Posted by 도시형닌자
:

Thumbs.db을 통한 사진파일 복구

Header 가지고 놀기 2009. 9. 2. 03:07 |
얼마전에 다녀온 휴가때 찍은 사진을 친구로부터 받은 적이 있습니다.
기억으로는 굉장히 많이 찍었던 것 같은데, 받은 사진을 보니 몇장이 비는 것 같아서
"우리 어디서 찍지 않았던가"라고 되물으니
"몰라 사진없어" 라고 대답하더군요
다행히 친구가 보내준 파일의 압축을 풀어보니 Thumbs.db라는 파일이 있어서 Thumbs.db로 사진을
복구시켜 이건 왜 안줬어라고 협박(?)해 원본을 다시 받아낼 수 있었습니다.

가끔 사진을 모아놓거나 드라마나 영화등 동영상을 모아놓는 폴더를 열어보면 다음과 같이 Thumbs.db 라는 파일을 종종 보실 수 있습니다. (물론, 폴더옵션에서 숨겨진 파일 보기에 체크를 하셔야 보이지만요)

또한 p2p에서도 Thumbs.db라는 파일명으로 검색하면 굉장히 많은 파일을 확인하실 수 있습니다

그렇다면 Thumbs.db에는 어떤 내용이 있을까요
윈도우 폴더에서 미리보기를 사용하는 경우 해당 파일에 대한 미리보기정보를 Thumbs.db에 담습니다.
(흔히들 thumbnail-엄지손톱- 이렇게 얘기하시는데 엄지손톱만하게 보여주기 때문에 이렇다면
thumb는 엄지이기때문에 조금 큰것일까요? 쿨럭;;
여튼 thumbnail이란 보려고 하는 이미지가 용량이 크거나, grid형태로 보여주기 위해 조그만 이미지로 보여줄 때 사용하는 것을 말합니다)

또한, 그림파일(jpg, bmp, gif)이나, 동영상등 형식에 상관없이 미리보기로 보여질 이미지들은 모두 jpg의 해더형식으로 thumbs.db에 저장이 됩니다.
(참고 : jpg의 file header(시작점)의 시그니처는 FF D8 이며, footer(끝점)는 FF D9 입니다.)

Thumbs.db에 모든 미리보기 파일이 JPG형식으로 저장되며, JPG의 시작점과 끝점의 시그니처도 알았으니
winhex로 해당 파일을 열어서 복구를 시켜보도록 하겠습니다.

1). Find Hex Values로 FFD8을 찾습니다.

2) 우선 Beginning of block으로 체크 후 FFD9를 찾습니다.

3) 찾은 부분에 End of block으로 체크 후 선택된 영역(FF D8 ~~ FF D9까지) 통채로 새파일 만들기로 집어넣습니다.

4) 새로운 파일을 만들었으면 파일명.jpg로 저장합니다.


5) 이제 확인해볼까요?

p2p에서 아무파일이나 다운받은거라 혹시나 걱정(?)을 했는데 다행히도 가족 비디오 같은 장면이 나왔네요

하지만 여기서 의문이 드는것은 제가 처음에 사진을 받았을 때 몇장이 없어서 Thumbs.db를 확인하여 파일을 복구하였다고 했는데, 사진파일이 한두장도 아니고 이처럼 수동으로 다 했을까요?
물론, 자동화 툴이 있죠 "Thumbnail Database Viewer"이라는 툴입니다.


위와 같이 폴더를 선택하였을 때 폴더안에 Thumbs.db파일이 존재할 경우 목록이 보여지며, Thumbs.db파일을 선택하면 미리보기로 저장된 화면들이 보여지게 됩니다.

Thumbs.db파일의 역활을 아시는분들은 이미 지웠겠지만, 이 글을 통해서 아시는 분들은 이제 지우도록 해야겠죠?
파일탐색기에서 검색해서 지우는 방법도 있지만 Thumbs Cleaner를 이용하셔도 됩니다
(포스팅하면서 확인해보니 Thumbs Cleaner은 Thumbs.db라는 파일명만 찾는군요;;이름이 바뀌거나 다른파일을 Thumbs.db로 만들어 놓으면 잘못된 결과를 보여줍니다)

또한, 지우셨으면 이제부터 안만들어지도록 해야겠죠?
윈도우탐색기 -> 폴더 -> 도구옵션 -> 보기에서 미리 보기 캐시 안 함을 체크해주시고 모든 폴더에 적용을 눌러주시면 이제 앞으로 만들어지지 않습니다.

다른 방법으로는 시작 -> 실행 -> gpedit.msc 를 입력하여 그룹 정책을 띄우시고
사용자 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Windows 탐색기를 선택 후
다음과 같이 "축소판 그림 캐싱 사용 안 함"를 선택합니다.

다음과 같은 화면에서 축소판 그림 캐싱 사용 안 함을 '사용'으로 바꿔 주고 확인을 눌러줍니다.

이제 파일을 미리보기 하셔도 Thumbs.db파일은 생성되지 않을 것입니다.


블로그 첫 글이 약간 허접하네요 -ㅅ-; 다음에는 조금 색다른 아이디어로 포스팅 하겠습니다

'Header 가지고 놀기' 카테고리의 다른 글

winDBG로 Process 리스트 및 Process 검증하기  (0) 2011.03.11
PE구조 알아보자  (0) 2011.02.10
Prefetch Header 분석  (4) 2010.01.08
Posted by 궁상박군
:

티스토리툴바