Introduction Race condition problem이란 when two concurrent threads of execution access a shared resource in a way that unintentionally produces different results depending on the sequence or timi...

Introduction Stack은 주로 data가 담기는 곳이기 때문에 거기서 코드를 실행 시킬 필요는 없다. 그렇기 때문에 x86과 같은 컴퓨터 구조나 gcc에서 non-executable stack을 구현하여 stack에서 코드가 실행되지 않도록 해준다. 해커는 자신이 실행시키고 싶은 코드가 꼭 stack에 없어도 되고 이미 메모리상에...

The five segments in a process’s memory layout for a typical C program. Text segment: stores the executable code of the program. This block of memory is usually read-only. 코드 자체가 올라가는 영역으로 보면 된...

Shell이란? Shell이란 command-line interpreter이다. 유저와 OS사이에서 명령어들을 읽고 그것들을 실행시켜준다. sh, bash, csh, zsh, Windows PowerShell 등이 있다. 그 중 bash shell이 Linux계열에서 가장 많이 쓰인다. Shell 안에 존재하는 보안 취약점들을 Shel...

privileged program: 접근 권한이 적용되어 있는 프로그램 이런 프로그램에 접근하기 위해서는 2가지 방법이 필요하다. Set-UID program. 사용자가 필요에 따라 privilege변환이 필요할때 이용하는 프로그램이다. Daemons(Services...

RegRipper Windows registry files에서 데이터를 추출하는 오픈소스 포렌식 도구이다. Registry Files Windows/system32/config에 파일들이 존재한다. SAM Security Account Manager라고 개인 계정에 관련한 정보를 다룬다. SECU...

Introduce to Usage Open source tool이고 The Sleuth Kit을 포함하고 있다. 새로운 case number를 기입하고 data source를 추가하여 examination을 시작한다. Default ingest Modules은 다음과 같다. Recent Activity Fil...

Image Physical image: bit-for-bit copy로 media에 있는 모든 것들을 copy한다. “deleted” data와 no longer accessible data도 포함하는 것이다. Logical image: viewable data(logical data)만 복사하는 것이다. 따라서 실제 데이터 사이즈보다 적은 ...

증거품들은 적절한 환경에서 잘 보존되어야 할 것이다. Write-protected storage devices imaging 작업을 하기 전에 write protected를 해주는 장치이다. native device: 같은 interface를 쓸 때 사용.(SATA to SATA) tailgate device: ...

Chain of Custody Chain of Custody에 어떠한 결함이라도 있다면 그것은 trial에서 채택되지 않는다. 증거물품들이 옮겨질때마다 항상 기록해야되는데 첫번째 기록은 when the seizure(압수) of evidence이다. Report를 발행할 때에는 requestor’s needs를 포함하고 리포팅 단체에 대한...