forensics

블록 오프셋 계산
forensics

블록 오프셋 계산

디스크 이미지를 너무 많이 수정하지 않고 원본 디스크 이미지의 일부 파일을 덮어써야 합니다. 이상적으로는 특정 문자열만 덮어써야 하지만 이것이 불가능할 수도 있습니다. 그래서 지금은 전체 블록을 커버하려고 합니다. Sleuthkit 덕분에 파일의 inode와 직접 블록을 찾을 수 있었습니다. 또한 섹터의 파티션 시스템을 포함하는 볼륨의 오프셋도 알고 있습니다. dd로 전체/블록을 덮어쓰는 방법이 있나요? 블록 오프셋을 계산할 수 있다면 쉬울 것이라고 생각했습니다. 매우 감사합니다 ...

Admin

원시 디스크 이미지의 검색 문자열
forensics

원시 디스크 이미지의 검색 문자열

현재 스캔해야 하는 도구를 작성 중입니다.읽기 전용해당 모드의 원시 디스크 이미지입니다. 작업은 일치하는 바이트 오프셋을 얻는 것입니다. 간단한 텍스트 문서 찾기를 사용할 수 있지만 grep -a -o -b -iE PATTERN IMAGEExcel, PDF 및 Word 문서를 검색하는 방법을 찾을 수 없습니다. 알아요grep이 작업에는 적합하지 않습니다. 사용할 수 있는 다른 도구가 있나요? ...

Admin

공유 SSH 키에 대한 사용자 액세스 추적
forensics

공유 SSH 키에 대한 사용자 액세스 추적

두 사용자 사이에 공유 SSH 키/(사용자 이름 및 비밀번호)가 있다고 가정하고 이들을 Bob과 Alice라고 부르겠습니다. Bob은 서버에 연결하고 일부 명령 체인을 실행하여 해당 호스트의 일부 중요한 데이터가 삭제되었습니다. 또한 Alice는 동일한 공유 자격 증명을 사용하여 동일한 호스트에 연결하여 일부 업데이트를 실행합니다. sshd 인증 로그(/var/log/auth.log)가 있고 이벤트 중에 두 사용자가 모두 연결되었다는 것을 알고 있지만 어떤 사용자(사용자의 IP가 포함되어 있으므로 연...

Admin

RabbitMQ, Linux에서 SCP 연결 해제
forensics

RabbitMQ, Linux에서 SCP 연결 해제

GNU/Linux에서 만든 응용프로그램에 문제가 있습니다. 대부분의 구성 요소가 Docker에서 실행되거나 기본적으로 실행되는 개발 환경에서 작동하지만 배포해야 하는 서버 환경에서는 무작위로(종종 항상 그런 것은 아님) 실패합니다. 하부 구조: [App in Ubuntu Server 20.04 host-1] <--->[router+firewall]<---> [Ubuntu Server 20.04 host-2] 두 서버 모두 CPU 4개, RAM 4GB 등 충분한 리소스를 ...

Admin

SQUASHFS 슈퍼블록을 찾을 수 없는 문제 수정/수정
forensics

SQUASHFS 슈퍼블록을 찾을 수 없는 문제 수정/수정

내가 만들고 squashfs로 압축한 오래된 파일 시스템 백업이 있습니다. 그것은 ext4 파일 시스템에 저장되어 있는데, 약간의 비트 부패가 있는 것으로 의심됩니다. 이 파일의 백업이 없습니다. 이 squashfs 파일을 저장하는 방법이 있습니까? $ unsquashfs olddrive.sfs Can't find a SQUASHFS superblock on olddrive.sfs 편집: 정보를 추가했습니다. $ file olddrive.sfs olddrive.sfs: data $ sudo moun...

Admin

드라이브 이미지에 사용 가능한 시작 파티션 크기가 다르게 표시되는 이유는 무엇입니까?
forensics

드라이브 이미지에 사용 가능한 시작 파티션 크기가 다르게 표시되는 이유는 무엇입니까?

/dev/sdc라는 이미지를 만들었습니다. 첫 번째 파티션 앞의 여유 공간이 동일한 바이트 크기를 보고하지 않는데 그 이유는 무엇입니까? 1024B드라이브와 16384B이미지에 시작 위치가 보고되어 있나요? # parted /dev/sdc u b p free Model: ASMT 2105 (scsi) Disk /dev/sdc: 500107862016B Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Numbe...

Admin

LUKS-LVM 파티션 크기 조정 문제
forensics

LUKS-LVM 파티션 크기 조정 문제

LUKS lvm 파티션의 크기를 조정(축소)하려고 하는 걱정스러운 모험을 겪었습니다. 시스템을 더 작은 크기의 새 드라이브에 쉽게 복사할 수 있도록 파티션을 축소하고 싶습니다. 시작하기 전에 여유 공간을 확보하기 위해 기존 디스크에서 일부 파일을 삭제했습니다. 그 후 USB 라이브 우분투에서 부팅하고 KDE 파티션 관리자를 사용하여 먼저 LUKS 파티션의 잠금을 해제했습니다. 그런 다음 LVM 루트 파티션을 사용 가능하게 만들고 KDE 파티션 관리자의 크기 조정 옵션을 사용하여 축소했습니다. 불행히도...

Admin

RedHat 파일 서버에서 실수로 삭제된 파일을 복구하는 방법
forensics

RedHat 파일 서버에서 실수로 삭제된 파일을 복구하는 방법

내 친구가 rm -rf실수로 명령을 사용하여 파일 서버에서 모든 파일(jpg 및 pdf)을 삭제했습니다. 실제 파일 이름으로 이러한 파일을 복원할 수 있는 방법이 있습니까? 핵심 - 복구를 위한 백업 없음 파티션 형식은 ext4입니다. 우리는 다음 해결책을 시도했습니다. testdisk- 소수의 파일만 복구되었습니다(실제 파일 이름 포함). photorec- 쓸모없는 .txt 파일이 포함된 다수의 파일을 복구했습니다(실제 파일 이름 없음). 가장 중요한 것은 - 파일 이름 없이 pdf 및 jpg...

Admin

첫 번째 볼륨에서 두 번째 볼륨으로 파일을 복사하면 파일이 변경되지 않습니까?
forensics

첫 번째 볼륨에서 두 번째 볼륨으로 파일을 복사하면 파일이 변경되지 않습니까?

FreeBSD 또는 다른 Unix 시스템을 사용하여 외부 하드 드라이브를 내 컴퓨터에 연결하고 첫 번째 외부 하드 드라이브에서 두 번째 하드 드라이브로 파일을 복사하면 두 번째 하드 드라이브의 파일이 원본의 파일과 동일합니다. 동일한 파일(첫 번째 외장 하드 드라이브)이 있습니까? 해시(체크섬)가 있다는 것을 알고 있습니다. 다른 볼륨에서 복사하면 다른 파일이 생성된다는 내용을 어딘가에서 읽었습니다(두 개의 다른 볼륨이기 때문입니다). 파일을 동일한 볼륨에 복사한 경우에만 동일한 파일임을 보장할 수 ...

Admin

auth.log에서 무차별 대입 공격 탐지
forensics

auth.log에서 무차별 대입 공격 탐지

저는 Linux 법의학을 처음 접했고 손상된 Linux 이미지를 분석하고 있습니다. 주요 문제: 해커는 어떻게 시스템에 접근했는가? auth.log 파일은 실패한 비밀번호에 대한 자동화된 무차별 대입 공격으로 가득 차 있습니다. 하지만 결국 무차별 대입 공격을 통한 액세스는 불가능하다고 생각됩니다. 공격자는 단순히 sudo 명령을 사용하여 사용자 php를 추가합니다(라인 2280 확인). 무차별 공격이 작동하지 않고 루트 사용자가 PHP 사용자를 생성한다는 것을 이해하는 것이 맞습니까? 그렇다면 공격...

Admin

의심스러운 시작 실행 파일을 찾기 위한 Linux의 자동 실행 도구는 무엇입니까?
forensics

의심스러운 시작 실행 파일을 찾기 위한 Linux의 자동 실행 도구는 무엇입니까?

Windows에서 자동 실행 도구는 법의학 조사관에게 매우 유용한 도구로, 의심스러운 시작 실행 파일을 찾고 무해한 실행 파일을 필터링하는 데 도움이 됩니다. 하지만 Linux에서는 그렇게 좋은 일을 할 수 없습니다. 그렇다면 의심스러운 시작 응용 프로그램을 찾을 때 자동 실행을 구현하는 가장 쉬운 방법은 무엇입니까? Linux에도 비슷한 도구가 있나요? 기본적으로 당신이 법의학 조사관이고 Ubuntu와 같은 Linux 시스템이 있고 의심스러운 부팅 실행 파일을 찾으라는 요청을 받았다고 가정해 보겠습...

Admin

분할된 원시 데이터에서 Ext4 Inode를 식별하는 Python 스크립트
forensics

분할된 원시 데이터에서 Ext4 Inode를 식별하는 Python 스크립트

ext4 파티션의 백업 이미지에서 원시 데이터를 읽고 ext4 inode 구조가 표시되는 시기를 식별하여 특정 파일을 복원할 수 있는 Python 스크립트를 작성하려고 합니다. 이 유형의 스크립트의 목적은 슈퍼블록이 손상되어 매직 넘버, 매직 바이트 또는 알려진 확장 유형을 사용하여 파일을 복구할 수 없는 경우, 다른 모든 방법은 실패하는 것입니다. 적절한 파티션을 가리키는 이 명령을 성공적으로 실행하면 분석할 데이터가 생성됩니다. dd if=/dev/sda of=partition.dd 내가...

Admin

inode 찾기 및 원시 데이터에서 바이너리 파일 복구
forensics

inode 찾기 및 원시 데이터에서 바이너리 파일 복구

손상된 슈퍼블록이 있는 하드 드라이브의 inode를 검사하려면 어떤 명령을 사용해야 합니까? 또한 이 inode와 관련된 파일 데이터를 쓰려면 어떤 명령을 사용해야 합니까? 내 파티션은 dos/mbr을 사용하여 생성되었습니다. 나는 testdisk와 다른 프로그램을 사용해 보았지만 확장자나 매직 넘버를 검색할 필요가 있도록 설계되었습니다. 내 파일 중 일부도 마찬가지입니다. 그래서 판단 없이 모든 파일을 검색해야 합니다. 제 특별한 경우에는 128G 드라이브에 두 개의 파티션이 있습니다. 물리...

Admin

손실된 파티션의 모든 파일을 복구하세요
forensics

손실된 파티션의 모든 파일을 복구하세요

두 개의 파티션이 있는 SDD가 있습니다. 첫 번째는 32G이고 두 번째는 드라이브의 남은 공간을 차지합니다. 첫 번째는 Ubuntu가 설치된 루트 파티션입니다. 두 번째는 일반 수납공간이다. 실수로 다음 명령을 사용하여 이 sdd에 dd를 지정했습니다. dd if=/2g-ubuntu.iso of=/dev/sda 3G 미만의 연속 데이터가 물리적 디스크 시작 부분에 기록되므로 이 덮어쓰기는 두 번째 파티션에 도달하지 않습니다. 그래서 즉시 드라이브를 마운트 해제하고 읽기 모드로만 마운트했습니다...

Admin

이전 CVS 커밋에서 위험한 콘텐츠를 제거하는 방법은 무엇입니까?
forensics

이전 CVS 커밋에서 위험한 콘텐츠를 제거하는 방법은 무엇입니까?

전직 직원의 작업을 정리한 후 몇 년 전 그들이 실수로 CVS 커밋에 800MB의 데이터 파일을 포함했다는 사실을 발견했습니다. 동일한 프로젝트에 대한 몇 가지 다른 약속이 이어졌습니다. 이 데이터는 보안에 매우 민감하고 법적 제한이 적용되며 완전히 삭제해야 합니다(다락방이나 파일 시스템에는 아무것도 없음). CVS를 손상시키지 않고 어떻게 이러한 파일을 삭제할 수 있습니까? (이것은 Linux 호스트입니다. 루트 액세스 권한이 있고 CLI에 능숙하지만 CVS 전문가는 아닙니다!) ...

Admin