Time for Security

 오늘은 ASLR을 해제하는 방법에 대해 배워봤습니다.

 사실 이렇게 제가 말은 해도, 오전에는 어셈블 문제를 풀어보고 풀이를 듣는 시간을 가지고, 오후에는 새로운 것을 배우는 시간을 가집니다.

 원래 예전 윈도우에는 없었던 기능인데, 버퍼 오버 플로우 같은 공격이 성행하게 되면서 이제는 기본적으로 포함이 되는 부분입니다.

 ASLR이 기본적으로 설정되어 있기 때문에 PE 파일에서 해당되는 부분을 찾아 없애주는 실습을 가졌습니다.

 개인적으로는 PE 파일에 대해 계속 설명 듣는 것 보다 훨씬 재밌는 수업이었던 것 같습니다. 

 이 날에는 PE view라는 프로그램을 한 번 사용해보는 시간을 가졌습니다.

 이름에서도 느껴지겠지만 PE 파일을 분석하는 툴이에요.

 원래는 이란 말이 맞을 지는 모르겠지만 일일이 하나씩 끊어보며 체크해주어야 했다면 이 프로그램은 PE 파일을 자동으로 분리해줍니다. 

 분석에만 집중할 수 있도록 말이에요.

 여러 툴을 사용해봤지만 이 툴은 정말 유용하게 사용할 수 있을 것 같습니다.

 사실 PE를 잘 모르긴 해서 저는 분석에 어려움이 있지만 전문가분들은 더 잘 사용할 것 같아요.

 저번 주 어셈블러 까지는 그래도 코딩과 비슷해서 흥미도 생기고, 재밌었었는데, PE 파일부터는 정말 지쳐요.

 물론, 교육일 수 때문에 그런 것도 있겠지만요.

 오늘은 저번 주에 이어서 리버싱 교육이었습니다.

 오전에는 어셈블리어를 공부하고, 오후에는 PE 파일을 분석해 보는 시간을 가졌습니다.

 PE 파일이라고 해봤자 아직 메모장 정도였지만 말이죠.

 여태까지 배웠던 과목 중 가장 어려운 것 같아요.

 정말 다행인 것은 모든 강사님이 다 좋긴 하지만 이번 강사님은 특히나 너무 친절하시고, 열의가 있으시기 때문에 더욱 도움이 되는 것 같아요. 

 자칫 잘못 하다가는 금방 지칠 수 있는 과목일 수 있는데, 강사님 덕분에 더 재밌게 보낼 수 있는 것 같습니다.

 요즘 학원에서 서로 프로젝트를 진행하느라 정신이 없는데요.

 수업과 병행하기에 너무 힘이 드네요.

 주말은 너무 짧고, 주중은 너무 긴 것 같아요.

 정말 취업이고 뭐고, 교육이 끝난다면 푹 쉬고 싶다는 생각이 듭니다.

 하지만 이럴수록 더 열심히 해야겠죠? 

 이 날 역시 어셈블러를 배웠습니다.

 리버싱의 기본은 역시 어셈블런가봐요.

 아직 공부를 많이 안해서 일까요?

 계속 봐도봐도 좀처럼 익숙해지지 않는 언어입니다.

 정말 처음에 이 시스템을 만든 사람이 놀라울 다름입니다.

 언어를 배울 때마다 그 언어마다 고유의 특징을 느낄 수 있고, 그 특징에 따라 더 쉽기도 하며, 어렵기도 한데요.

 이 어셈블러는 특히 값을 어디에 저장을 해줘야할 지 난감한 언어입니다. 

 물론, C언어나 JAVA와는 다른 차원의 언어지만요.

 이것 저것 직접 실습해보며 실력을 향상시킬 수 있었던 날이었습니다.

 드디어 11월이 시작되었네요.

 7월에 시작한 이 과정도 이제 거의 마지막 달입니다.

 사실상 12월 6일까지이기 때문에 마지막 달이나 다름없습니다.

 이 날에는 올리디버거를 사용해보았습니다.

 학교에서도 몇 번 사용해 보았던 툴인데요.

 간단한 C 언어 코드를 보는데도 굉장히 버겁습니다.

 물론, 툴은 굉장히 좋습니다.

 제가 아직 경험이 부족한 탓이죠.

 이 디버거를 포함 몇몇 다른 디버거도 전에 사용해 보았었는데, 모두의 공통점은 디버깅 중 한 단계 전으로 돌아갈 수 없다는 것입니다. 

 왜 그럴까요?

 충분히 만들 수 있고, 넣을 수 있는 기능 같은데 말이죠.

 능력자 분께서 만들어주셨으면 하는 바람입니다. 

 점점 어셈블러를 볼 수 있는 눈이 좋아지고 있는 것 같습니다.

 오늘은 어셈블러에 대해 교육 받았습니다.

 저번 시스템 해킹때도 배웠던 내용이지만 좀 더 세세하게 배웠습니다.

 리버싱의 기본은 어셈블러라고 하시더라구요.

 잘은 몰라도 공감은 됐습니다.

 저번에는 어셈블러를 보고 C언어로 바꿔보는 실습을 진행했다면 이번에는 C언어를 어셈블러로 바꿔보는 시간을 가졌습니다.

 길고 어려운 코드를 바꾼다면 물론 이것도 어렵겠지만, 저번보다 쉬웠던 것 같습니다.

 저는 반대의 경우가 더 쉬웠던 것 같아요.

 그러니까, C언어를 어셈블러로 바꿔주는 것 말이죠.

 한 주 동안은 어셈블러를 주로 공부하게 될 것 같습니다.

 기초를 탄탄히한 후, 다음 주의 리버싱을 본격적으로 시작할 수 있었으면 좋겠습니다. 

 오늘은 한 주의 마지막이기도 하면서 2주간의 디지털 포렌식 수업의 마지막 날이기도 했습니다.

 이번 시간에는 GRR에 대해 교육 받았는데요.

 GRR은 Google Rapid Response의 약어입니다.

 조금 생소한 수도 있는 이 단어는 우선 이름에서 느껴지듯 Google에서 만들었음을 알 수 있는데요.

 리눅스와 윈도우 클라이언트를 위한 오픈 소스 원격 라이브 포렌식 사고 대응 프레임워크라고 볼 수 있습니다.

 뭔가 길어졌는데요. 

 쉽게 말해서 원격 라이브 포렌식 툴이라고 보시면 됩니다.

 GRR을 리눅스에 직접 설치해보고 실습해보는 시간을 가졌습니다.

 2주간 20여개 정도의 툴을 다뤄봤는데, 가장 의미 있었던 실습이였습니다.

 다음주부터는 리버싱 교육을 받게 될 것 같습니다. 

 오늘은 NTFS 파일 시스템에 대해 배웠습니다.

 어제는 FAT 파일 시스템에 대해 배웠는데요.

 이 둘은 서로 호환되지 않습니다.

 보안을 배우며 많은 약어들을 듣고 보게 되는데요.

 NTFS는 New Technology File System 의 약어입니다.

 지금까지 봐왔던 약어들 중에 가장 직설적이지 않나 싶습니다. 

 이름에 걸맞게 더욱 빠르고 안정적인 파일 접속 기능을 하도록 만들어졌지만 어떻게 보면 더 불편함을 가져왔을 수도 있겠네요.

 내일이면 디지털 포렌식의 마지막 시간입니다.

 마지막까지 최선을 다해봐야겠어요.

 오늘은 파일 시스템에 대해 교육받았습니다.

 많은 시스템이 있지만 그 중에서도 FAT을 주로 다뤘는데요.

 0부터 89까지 거의 처음부터 끝까지 어떤 구조로 이루어져 있는 지 보았습니다.

 처음엔 다 외우려고 했는데, 수업을 듣다 보니 그럴 필요까지는 없을 것 같더라구요.

 검색하고 찾아서 무엇을 하는 지 알 정도면 충분한 것 같아요. 

 이 외에도 FAT 영역 위치 확인과 디렉토리 앤트리 등 많은 것을 배웠습니다.

 하루동안 너무 많은 부분 부분을 봐서 헷갈리네요.

 정리를 하는 시간이 필요할 것 같습니다. 

 디지털 포렌식을 배운지 일주일이 넘어가네요 벌써.

 이 날엔 웹 로그 분석에 대해 배웠습니다. 

 저번 학기 때 공모전 주제로 '웹 로그 분석 시스템'을 잠깐 다뤘었는데요.

 그랬었기 때문에 이해하는 데 더 도움이 됐던 것 같습니다.

 총 5단계로 나눠지는데요.

 로그 분석 항목 선정 - 로그 항목 설정 - 선별과 정제 및 변환 - 로그 분석 - 결과 반영 순으로 이루어집니다.

 로그 분석시 microsoft의 log parser를 이용하면 편리한데요.

 웹 서버의 로그를 쿼리 형태 질의어로 원하는 형태의 파일로 정리해주는 툴 입니다.

 범위가 넗고 많을 줄은 알았지만 정말 여러 가지의 포렌식이 있다는 것을 느꼈습니다.