민오리

직전 포스팅에서도 언급했었지만 이번 학기에 "암호화를 활용한 원격 포렌식 기법 및 제도 제안"을 주제로 캡스톤 프로젝트를 진행했다. 저번 포스팅에는 원격 포렌식 툴 중 하나인 GRR을 소개했다면, 이번 포스팅에는 우리가 직접 암호화에 활용한 랜섬웨어의 일종인 hidden-tear에 대해 작성할 예정이다. Hidden-tear hidden-tear는 교육용으로 제작된 오픈소스 랜섬웨어이지만, 이를 변조하여 악의적으로 이용하는 사용자들이 많아져 배포를 중단했다고 한다. 이 포스팅을 하는 이유는 내가 프로젝트를 진행할 때 hidden-tear를 통해 암복호화 하는데에 애를 많이 썼기 때문에, 나와 같이 공부하는 입장에 있는 사람들을 위해서이다 찾아보면 알다시피 정확한 코드 수정 방법까지는 나오지 않는다 ※따라..

GRR은 Google Rapid Response의 약자로서 원격 라이브 포렌식에 중점을 둔 침해사고 대응을 위한 프레임워크이다. 1. GRR 기능 - 클라이언트 주요 기능 1) 바이너리 파일을 활용해 활성 메모리 덤프파일을 생성한 뒤 서버로 송신 2) 인터넷 기반으로 데이터를 송수신 할 때 암호화하여 기밀성 제공 3) 리눅스, 맥, 윈도우 환경에서 메모리를 분석할 수 있는 Rekall 프레임워크를 사용하여, 원격지에서 활성 메모리 분석 가능 - 서버 주요 기능 1) 클라이언트에 바이너리 파일을 배포하고 관리, 설치된 바이너리 파일로부터 활성 메모리 덤프파일을 수집 2) 슬루스킷(Sleuthkit, TSK)를 사용하여 운영체제 수준이나 파일 시스템 영역 등에 접근 가능 3) 다수의 클라이언트에 대한 통합 ..

문제: 난수발생기로 생성한 key를 이용하여 입력된 정수 리스트를 XOR 연산한 암호화/복호화 결과를 출력하라 (난수발생기는 같은 seed가 주어졌을 때 항상 같은 순서로 난수를 출력합니다) 입력 포맷: encrypt/decrypt [key] 정수, 정수, 정수 출력 포맷: encrypt 10(key) 0 4 2 6 (정수 리스트) [Imformation] ▶ XOR 연산자: ^ ▶ 정수형: int("1234") -> 1234 ▶ 인자를 프로그램의 입력으로 사용하는 방법 import sys ... seed = int(sys.argv[1]) -> 사용시 파이썬에서 shift + f5로 인자를 입력받을 수 있음 ▶ int입력을 위한 스트림키 생성(32비트) random.getrandbits(32) ▶ 파이썬..