I want hacker

포렌식 툴 소개1. Strings리눅스 터미널에서 동작실행된 파일의 ascii 문자를 추출하여 출력함. 포렌식 분석할 떄 많이 도움 됨명령어strings [파일명]strings [옵션] [파일명]-f : 각 문자열 행 앞에 파일 이름을 같이 출력  2. exiftools exiftool  이미지파일 포멧 중 하나인 exif의 메타데이터를 살펴볼 수 있는 명령어filename에는 이미지 파일을 넣으면 된다.만약 exif의 포멧 형태를 16진수로 보고 싶다면 다음과 같은 명령어를 실행시키면 된다.exiftool -H  참고로 결과를 txt같은 파일로 빼고 싶다면 리다이렉션을 이용하면 된다.exiftool > [results.txt]  3. binwalk파일의 시그니처들을 분석해주는 도구파일 속에 또다른 ..

전시간 까지 file header 의 Machine 필드까지 알아보았다.정리를 해보자면,NT header-  PE Signature, File header, Optional header으로 구성됨이들 중, File header는 PE Signature 바로 뒤에 위치에 있으며,  4개의 필드로 구성됨 ▣ 4 개의 필드1. Machine2. Number Of Sections3. SizeOfOptionalHeader4. Characteristics   이번 시간에는 Machine필드를 제외한 나머지 필드에 대해 알아보자. 1. Number Of Sections 필드→ 섹션들의 갯수를 나타내는 필드이다.→ 위의 문제에선 05 00 이므로 0x0005가 되므로 총 5개의 섹션이 있다는 것을 알 수 있다. 5개의..

제 1강~2강내가 생각한 난이도중(처음 봄...)흥미 정도중(어쨋든 PE파일 분석은 해야 한다..) Title : PE 파일의 악성 및 비정상 여부 식별먼저 PE 파일이란?PE 파일(Portable Executable) 파일은 윈도우 실행파일이라고 부르며, 윈도우 OS에서 사용되는 실행파일 형식을 의미하며, UNIX의 COFF(Common Object File Format)을 기반으로 만들어졌음.  PE 파일의 구조→ PE 파일 내에서 헤더 부분과 바디 부분으로 나뉘며, 바디 부분은 PE 파일의 섹션 부분들임.  ※ 참고 ※강의의 세부적인 내용은 복제 및 배포가 금지이므로 원본을 그대로 사용하지 않고 필자가 이해하기 쉽게 정리함. PE 파일에 대하여 공부해보자.PE 파일에 대해 블로그를 통해 알아보고 일..