Free

GRR이란? Google Rapid Response의 약자 원격 라이브 포렌식에 중점을 둔 사고 대응 프레임 워크 대상 시스템에 설치되는 파이썬 클라이언트(에이전트)이며, 클라이언트를 관리하고 통신할 수 있는 파이썬 서버 인프라 GRR 프레임워크 기능 동작 클라이언트의 활성 메모리 덤프파일을 추출하기 위해서 GRR 웹서버에 관리자 모드로 접속 활성 메모리 덤프파일 요청 메시지를 엔드포인트에 설치된 바이너리 파일에 송신 바이너리 파일은 활성 메모리 추출 API를 활용해 덤프 파일 생성 바이너리 파일은 생성된 덤프파일을 Message queue 형태로 서버의 데이터베이스로 송신 서버 관리자는 데이터베이스에 저장된 덤프파일을 명령 프롬포트를 통해서 획득하고 분석 데이터베이스에 저장된 덤프파일은 프론트 엔드 서..

전체적인 디스크 논리 구조 디스크 부팅 영역 디스크 파티셔닝 디스크는 운영 체제가 디스크의 다른 부분보다 먼저 읽는 파티션 테이블 이라는 영역에 파티션의 위치와 크기에 대한 정보를 저장합니다. 그러면 각 파티션은 실제 디스크의 일부를 사용하는 별개의 "논리적"디스크로 운영 체제에 나타납니다. 시스템 관리자 a라는 프로그램을 사용하여 파티션을 만들고, 크기를 조정하고, 삭제하고, 조작합니다. 파티셔닝을 사용하면 다른 종류의 파일에 대해 다른 파일 시스템을 설치할 수 있습니다. MBR(Master Boot Record) GPT(GUID Partition Table) BSD 기타 볼륨 영역 파일 시스템에 의해 논리적으로 관리되는 영역 FAT NTFS EXT UFS 기타 출처 학교 수업 내용

섹터(Sector) 디스크에서 I/O 명령을 수행하기 위한 물리적인 최소 단위 1섹터는 512byte 클러스터(Cluster) 파일 시스템에서 디스크에 접근하기 위한 논리적인 최소 단위 섹터 여러개를 묶어 하나의 클러스터로 지정 파일시스템에 따라 다름, 보통 8 sectors를 1 cluster로 지정 (4KB) 슬랙(Slack) 파일의 실제 크기와 디스크 최소 I/O크기, 파일시스템 최소 I/O크기의 차이로 인해 낭비되는 공간 램 슬랙(RAM Slack) 드라이브 슬랙(Drive Slack) 파일 시스템 슬랙(File System Slack) 볼륨 슬랙(Volume Slack) 전체 볼륨 크기와 할당된 파티션의 크기의 차이로 발생하는 낭비 공간 Ex) Disk size 10000 byte 1 Clust..

용어정리 부트 코드(Boot Code): 컴퓨터 부팅 시 사용하는 기계 명령어 중앙 처리 장치(CPU): 기계 명령어가 입력되면 해석하여 연산/처리를 수행하는 하드웨어 ROM: 메인보드 내에 내장된 메모리 칩, 읽기만 가능, 비휘발성 메모리 BIOS: 메인보드 ROM에 내장된 프로그램, UEFI(GPT 파티션 형식, MBR도 지원), Legacy(MBR 파티션 형식) 부팅과정 1. 전원 ON 2. ROM 내 BIOS 프로그램에서 명령어 읽기 3. 주변기기 저장장치 탐색 → POST(Power on self test) 4. 탐색된 저장장치의 첫 번째 섹터의 디스크 부트코드 명령어 확인 → 부트스트랩(Bootstrap) 5. CPU에 해당 디스크 부트코드 명렁어 전달 6. CPU가 디스크 부트코드 명령어 해..