August 24, 2014

SQLite WAL (Write-Ahead Logging)

소개 과거 데이터베이스는 갑작스런 이벤트로 인해 데이터베이스가 손상되는 것을 방지하기 위해 트랜잭션(transaction)에 저널링(Jorunaling)을 사용하였다. 데이터베이스의 저널링 기법은 롤백 저널(Rollback Journal)이라고 불리며, 데이터베이스 파일 내에 저널링 데이터 보관 영역을 두고, 필요할...

August 11, 2014

[제1회 FI 세미나] 사이버전 악성코드의 특징 질의응답

제 1회 포렌식 인사이트 세미나에서 발표된 내용 중 질문에 대한 답변을 작성하였습니다. 여기에 작성된 내용은 저의 의견이며, 특정 집단의 생각과는 무관하오니 참조 정도 하시면 좋을 것 같습니다.   Q. 세미나...

February 11, 2014

DFIRCON 2014 : Memory Forensics (Part IV) – irykmmww.sys

Part IV에서는 루트킷인 irykmmww.sys에 대한 내용을 다룬다. 1. 기능 분류 디바이스 드라이버인 irykmmww.sys는 DLL이나 D1L의 행위를 사용자에게 노출되지 않도록 은닉하는 임무를 담당한다. 참고로 디바이스 드라이버를 메모리에서 덤프한 경우에는 Native API가...

February 11, 2014

DFIRCON 2014 : Memory Forensics (Part III) – irykmmww.d1l

세 번째 포스팅이다. 이번 포스팅에서는 악성 바이너리 중 가장 많은 역할을 수행하는 "irykmmww.d1l'을 분석하고자 한다. 이 DLL은 가운데 스펠링을 1로 변경하였으며, svchost.exe와 iexplore.exe에 인젝션되어 있다.   1. 기능 요약 본...

February 10, 2014

DFIRCON 2014 : Memory Forensics (Part II) - irykmmww.dll

이번 글부터 메모리 분석 과정에서 악성코드로 추정되는 3개의 파일을 분석하기로 한다. Part I에서 여러 개의 바이너리를 덤프했지만 동일한 DLL이 다른 프로세스에 인젝션되어 있었으며, 결국 3개의 악성코드(DLL, D1L, SYS)로 분류된다. 여기에서는...