> Information Security/Linux
-
[ubuntu] Unix 침해사고 분석-스케줄링(crontab)> Information Security/Linux 2017. 2. 11. 17:27
침해사고가 발생하면분석 조사관은 crontab을 통해 서버의 스케줄링을 확인한다. crontab은Unix에서 사용되는 'cron'이라는 소프트웨어에서 규정해놓은 테이블 명칭이다.주기적으로 (월/일/시/분/초 단위) 운영자가 설정해놓은 명령어를 실행시키는 스케줄러인 셈이다. 이 기능은 동일한 업무를 자동화하는 편리함을 갖춘 반면, 공격자에게도 좋은 도구가 된다.예를 들면, 대량의 정보를 한꺼번에 수집하여 공격자에게 전송하면 관리자의 모니터링 대상이 될 수 있으므로 소량의 데이터를 주기적으로 공격자에게 전송하거나, 백도어 프로세스를 생성하는 등에 활용된다. 마치 주기적으로 실행되는 작업인 양, 관리자가 눈치채지 못하게 스케줄(crontab)에 등록하는 것이다. 테스트 환경 : Ubuntu 14.04.5 LT..
-
파일시스템> Information Security/Linux 2014. 1. 2. 17:45
파일시스템? 일반적으로 포렌식에서 삭제된 파일을 복구하고자 할 때, 우리는 많은 정보를 파일시스템에서 얻는다고들 한다. 도대체 파일시스템이 무엇이길래, 우리가 파일시스템을 알아야 하는 것일까?위키피디아에 의하면 파일시스템은 '컴퓨터에서 파일이나 정보를 쉽게 발견하고 접근할 수 있도록 보관하거나 조직하는 체제'라고 정의한다. 그렇다면 우리는 정보를 찾을 때, 정보가 저장되었던 장치인 저장매체에서 정보를 찾을 수 있다는 당연한 결론에 이를 수 있겠다. 하드디스크와 같은 디스크장치나 광학장치와 같은 저장매체 속에서, OS에 따라 파일시스템은 종류별로 나뉜다. OS 별 파일시스템 OS 파일시스템 Windows FAT(FAT12, FAT16, FAT32), NTFS Linux Ext2, Ext3, Ext4 Mac..
-
[EXT] 디렉토리 엔트리> Information Security/Linux 2013. 10. 15. 23:23
EXT파일시스템에서 디렉토리엔트리는 디렉토리에 대한 정보를 담고 있다.[디렉토리 엔트리 구조] 디렉토리 엔트리 구조에 따르면, 아래와 같이 구성되어 있다. inode(4) rec_length(2) name_length(1) file_type(1) name(0~255) lde를 통해 디렉토리 엔트리구조를 offset별로 구분한 것은 아래와 같다. 디렉토리 엔트리의 원리를 이용하여, 파일 삭제 원리를 파악한다. 1. 해당 하드디스크에 a.txt b.txt c.txt d.txt 생성 2. lde를 통해 루트디렉토리의 블록 확인 1. e.txt와 f.txt파일 생성 (f.txt의 컨텐츠인 "ffff"를 루트디렉토리부터 추적해 볼 것이다.)
-
[EXT] 리눅스 시스템 - 아이노드> Information Security/Linux 2013. 10. 15. 22:45
아이노드(Inode)는 리눅스 시스템에서 사용되는 자료구조로, 파일시스템에 관한 정보를 담고 있다. 파일 시스템 내에서 파일이나 디렉토리는 고유한 아이노드를 가지고 있으며, 아이노드넘버를 통해 구분이 가능하다. - 파일이나 디렉토리마다 하나씩 할당됨. - 소유자 그룹 - 접근 모드 (w,r,x) - 파일 형태 - 아이노드넘버 이번 포스팅에서는 아이노드를 이해하기 위해 새로운 하드디스크를 추가하고, 파일을 생성했을 때 inode 값이 어떻게 변경되는지 확인해보도록 하겠다. 1. 하드디스크 추가 및 파티션 추가1) 하드디스크 추가# ls /dev/sd* 2) 파티션 추가# fdisk /dev/sdb 주 파티션(primary partition)을 사용할 것인지, 확장 파티션(extended partition)..
-
[Linux] EXT 파일시스템 구조> Information Security/Linux 2013. 10. 15. 22:09
리눅스(커널 2.6) 시스템에서는 기본적으로 EXT 파일 시스템을 사용한다. 1993년에는 EXT의 단점을 개선한 EXT2, XIA가 개발되었지만, 본 포스팅에서는 EXT 파일시스템에 대한 내용만을 다루기로 한다. [EXT 파일시스템 구조] EXT 파일시스템은 부트섹터(Boot Sector)와 여러개의 블록그룹(Block Group)들로 이루어져 있다. 부트섹터(Boot Sector)는 부팅에 필요한 정보들이 담겨있고, 각 블록들은 윈도우로 따지면 클러스터(Cluster)와 비슷한 개념으로, 크기는 1K~4K까지 설정이 가능하다. 각 블록 그룹(Block Group)의 기본구조는 위와 같이 Super Block, Group Descript Table(GDT), Block Bitmap, Inode Bitm..
-
입출력 방향 변경> Information Security/Linux 2010. 11. 15. 11:22
$ 명령 > 파일명 $ 명령 >> 파일명 표준출력을 모니터에서 파일로 변경 > : 새로운 파일로 생성, 기존 파일의 내용은 없어짐 $ 명령 2> 파일명 표준 오류메시지를 파일에 저장 $ 명령 쉘 변수는 관례적으로 대문자 사용 쉘 (지역)변수 : 현재의 쉘 에서만 사용 가능한 변수 확인명령 : set 환경(전역)변수 : 전체 쉘에서 사용 가능한 변수 확인명령 : env 콘쉘 변수 정의 쉘 변수 : 변수=값 환경변수 : export변수=값 변수값 확인 print $변수 echo $변수 변수정의 해제 unset 변수