![]()
작성자 : 김은우 작성일 : 2025-05-30이미지 명: HDFLAB_2025-test-1.E01 Ⅰ. 사건 개요피로테크(PiroTech) 회사에서 일하는 직원 김과로 씨가 최근 의심스러운 증상을 보고했습니다. 김과로 씨는 협력사에서 온 이메일을 열어본 후, 화면에 검은색 창이 잠깐 나타났다사라지는 현상을 목격했습니다. 이는 얼마 전 퇴사한 막내 직원 김초록 씨가 겪었던 증상과 정확히 일치합니다. 당시 김초록 씨도 "협력사에서 온 이메일을 열었더니 검은색 창이 잠깐 켜졌다 꺼졌다"고 보고했었습니다. 김초록 씨가 퇴사한 이후 회사 내 여러 서버에서 의심스러운 접근 시도가 발견되었고, 일부 문서가 외부로 유출된 정황이 포착되었습니다. 이러한 유사성에 경각심을 느낀 IT 보안팀은 즉시 김과로 씨의 컴퓨터를 ..
![]()
파일 시그니처 File Signature - 헤더 시그니처 / 푸터 시그니처 문서에 따라 시그니처를 매직 넘버라고 사용하는 경우도 있다. 파일 카빙(File Carving) 기법: 메타데이터보다 파일 자체의 바이너리 데이터를 이용해 디스크의 비할당 영역에서 파일을 복구하는 방식 - 시그니처 기반 카빙 : 각 파일의 포맷 별로 존재하는 파일 시그니처를 이용하는 방식 PNG헤더 시그니처 : 89 50 4E 47 OD OA 1A OA푸터 시그니처 : 49 45 4E 44 AE 42 60 82PNG 파일구조는 파일 시그니처와 다양한 청크(공통된 데이터를 가지고 있는 데이터들의 집합)들의 집합으로 이루어져 있다. 주요 청크 : IHDR , IDAT, IEND{ Length (4 bytes), //청..
![]()
레지스트리 하이브 : 레지스트리 파일들. 여러 레지스트리 파일들을 모아 마치 하나의 레지스트리 데이터베이스인 것처럼 보여준다. 레지스트리에는 5개의 루트 키가 존재한다.HKCU / HKLM 내에 주요한 사용자 데이터가 많이 저장된다. - 5개의 루트 키는 독립적이지 않음. ex) HKCU는 모든 사용자 정보를 담고 있는 HKU의 하위 키로 존재함- HKCC는 HKLM 과 완전히 동일하지는 않지만, 대부분의 데이터 유사레지스트리 수집 방법 레지스트리는 시스템 파일이기 때문에, 시스템 동작 시에는 복사해올 수 없다. dirty 상태 (사용 중이던 레지스트리가 정리되지 않은 상태로 시스템에 복사된 상태) 아직 쓰여지지 않은 데이터가 존재하고, 이런 데이터들이 LOG1, LOG2 파일에 남아 있다. 따라서..
