[ccibomb@CRG]# _bykim

6. [연구문서] 미래의 사회 변화에 따른 사이.pdf

인간은 컴퓨터를 개발하고 그 컴퓨터를 통해서 많은 혜택과 편리를 누리고 있는 것이 사실이다. 그러나 컴퓨터 기술과 관련하여 각종 멀티미디어, 디지털 기술을 개발하고, 인터넷을 확장시키는 가운데 인류는 컴퓨터로 인한 순기능보다도 그 역기능에 의한 폐해가 심각함을 인식하게 되었다. 즉, 컴퓨터를 잘 사용한다고 해서 그 불안감이 해소되는 것이 아니라는 것 이다. 제아무리 컴퓨터를 다루는데 능한 전문가라 할지라도 컴퓨터 자체가 신뢰할 수 있는 기계가 아니기 때문이다. 이미 컴퓨터를 수단으로 하는 많은 곳에서 새로운 범죄 형태가 나타나고 있는데 최근 국내외를 막론하고 컴퓨터 시스템과 이를 통한 각종 사이버범죄 사례가 급격하게 증가하고 있고 그 피해액과 피해범위도 매우 크며 때로는 복구불능의 상태로 기업이나 개인 자체의 운명을 좌우하는 상황도 발생하는 점을 감안할 때 이에 대한 새로운 인식과 대응전략을 적극적으로 고려하여야 할 시점에 이른 것이다.

특히 2009년 7·7 DDOS 사건을 통해 사이버범죄에 관하여 전국민적인 관심사가 쏠려있는 이 시점에서 미래 사회의 변화에 따라 변화할 사이버범죄의 양태를 살펴보려 한다.

7. [연구문서] Legal Analysis of the Reverse-engineering.pdf

○ 목차

Ⅰ. 서론

Ⅱ. 본론
1. 리버스 엔지니어링의 개념
2. 리버스 엔지니어링과 저작권
3. 크래킹의 법적성격
4. 리버스 엔지니어링과 친고죄
5. 합법적인 리버스 엔지니어링

Ⅲ. 결론

9. [기술문서] Recovering the deleted file.pdf

○ 목차

1. 의의

2. 이론
2-1. FILE의 개념
2-2. 파일 시스템의 FILE 관리 by “inode” !!
2-3. “inode”에 대하여 더 알아보자
2-4. EXT2 파일시스템 구조 분석

3. 실습 – 삭제된 파일 복구하기
3-1. Bitmap 에서 inode 를 사용한다(1) 표시된 경우
3-2. Bitmap 에서 inode를 사용않는다(2) 표시된 경우
3-3. inode 가 남아있지 않는 경우
- Data Carving (Sleuthkit tool, Keyword Searching)

4. 참고문헌

커널디버깅.pdf

Kernel Debugging

11. [기술문서] Alternate Data Stream.pdf

 목차

1. 배경

2. ADS 생성하기
 커맨드 창을 통해 ADS 생성하기
 등록정보 수정을 통해 ADS 생성학기
 노트패드를 통해 ADS 생성하기

3. ADS 실행하기

4. ADS 탐지하기(lads, adsspy)

5. FAT에서는??

6.    ADS의 부작용

7. 결론

8. 참고

16. [기술문서] MAC time on FAT32.pdf

○ 목차

Ⅰ. 서론

Ⅱ. 본론
  1. 파일과 메타데이터
  2. MAC-Time의 의의
  3. FAT32 파일시스템과 MAC-Time
  4. 예제

Ⅲ. 결론

12. [기술문서] Detecting the USB Connects.pdf

 목차

1. 배경

2. USB 인식 절차

3. USB 저장 장치 관련한 레지스트리 확인
3-1.   USBSTOR
3-2.   사용 시각 추정

4. USB 저장 장치 관련한 로그 확인

5. 참조

14. [기술문서] Detecting the DKOM.pdf

○ 목차

I. What is “DKOM” ?
가. DKOM이란?
나. DKOM의 장단점
다. DKOM의 기능

II. DKOM을 이용한 은닉
가. 원리
나. 실습 (notepad.exe 은닉)

III. DKOM 탐지 기법
가. 다른 Linked list 이용하기
  1. 원리
  2. 실습 (Windbg 이용 / tool 이용)
나. Process Carving
  1. 원리
  2. 사전지식
  3. 실습 (Windbg 이용 / tool 이용)

IV. 참고문헌

15. [기술문서] A Study on the Registry.pdf

○ 목차

1. 레지스트리
1-1. 레지스트리 정의
1-2. 레지스트리를 통해 알 수 있는 정보
1-3. 레지스트리의 구성

2. 하이브파일
2-1. 하이브파일 정의 및 구성
2-2. 하이브파일 찾아가기
2-2-1. Windbg 이용하여 직접 찾아가기
2-2-2. Volatility tool 사용하여 찾아가기
2-3. Encase로 hive file이용하여 registry 확인하기

3. 악성코드 감염 등에 따른 레지스트리 분석시 주시 사항 (관련 tool 소개)

4. 참고문헌

13. [기술문서] Detecting the SSDT Hooking.pdf

SSDT Hooking 이란?

윈도우 운영체제에서는 ZwQuerySystemInformation 함수를 이용해서 다양한 종류의 정보를 알아낼 수 있다. 작업관리자 (Taskmgr.exe)는 이를 이용해서 실행 중인 Process List를 구한다. 루트킷이 SSDT의 NtQuerySystemInformation 함수의 주소를 교체해서 자신의 함수가 먼저 호출되게 만들었다면, 그 루트킷 함수 내에서 원래의 NtQuerySystemInformation 함수를 호출해서 얻은 결과값을 변경시킬 수 있다.
SSDT 후킹은 윈도우즈 API 가 커널 모드에서 서비스를 받기 위해 필요한 SSDT(System Service Descriptor Table) 의 내용을 조작하는 커널 모드 후킹 방법 중에 하나이다. SSDT 는 프로세스에 독립적이고 커널 주소 공간에 전역적으로 올라와 있으므로, 특별한 조작을 가하지 않는다면 모든 프로세스가 같은 SSDT 를 가지고 있다. 커널모드에서 전역적으로 윈도우즈 서비스 함수를 가로챌 필요가 있을때 주로 SSDT 후킹을 많이 사용한다.

○ 목차

1. SSDT
1-1. What is “SSDT”?
1-2. SSDT 살펴보기

2. SSDT Hooking
2-1. SSDT Hooking이란?
2-2. 실습

3. SSDT Hooking 탐지 기법
- Volatility tool 사용

4. 참고문헌