냠냠쩝쩝

2017-05

목요일 계층 조사/ ip&mac / port번호

>수업 : 네트워크 전반적인 이해 및 소개등

화요일 원격 조정 할수 있게 해보기(포트포워딩) 

>수업 : 와이어 샤크  

목요일 와이어 샤크 과제 

>수업 :   

1. OSI 7계층에 대해 조사 

> 각계층 장비나 프로토콜 관련

2. IP주소 & MAC주소에 대해 조사

3. Port번호란 무엇인가

4. ARP <& RARP>

5. 프로토콜이란? 

6. TCP & UDP

7. wireshark다운받아오기

8. 원격조정배우기

9. 공유기 설정

10. URL서비스 어떻게 진행되는지

11. TCP핸드쉐이크

12. 공유기 사용시 ip구조가 어떻게 변하는지 외부에서 내부에서 들어가고 나가고 할 때

13. 서버와 클라이언트 구조

물리 - 비트

데이터링크 - 프레임

네트워크 - 데이터 그램

트랜스포트 - 세그먼트

애플리케이션 - 메시지

다중화와 역다중화

메모리 포렌식의 대상으로는

> 물리메모리

- 윈도우가 시스템에 장착된 메모리를 사용하기 위해서는 모든 메모리 공간에 대한 주소 정보가 필요하다. 

- 시스템이 처음에 시작될 때 시스템에 장착된 모든 메모리 공간의 주소정보를 담은 지도를 만든다. 

- PAM (Physical address Map) : 실제(물리) 메모리 주소 정보

- 이전에 32비트 운영체제에서 사용할 수 있는 메모리의 크기는 2^32의 크기로 = 4294. 즉, 4GB의 메모리까지만 사용가능 했다.

- 실제 사용 메모리는 물리메모리에서 장치메모리를 뺀 나머지 메모리

- 장치 메모리를 우선적으로 처리하여 컴퓨터가 정상적으로 작동하는데 꼭 필요한 장치들을 사용할 수 있게 한다.

- 따라서 기존까지 CPU 32비트 주소지정 방식을 사용한 것을 36비트 주소지정 방식을 CPU에 추가한다.

- PAE(Physical Address Extention) : 실제 주소 확장

- 2^36의 크기로 = 64GB의 메모리를 인식하게 한다.  <윈도우 xp 서비스 팩 2 부터 PAE기능 지원>

- 가상 메모르를 통해서 물리메모리 용량이 4GB인 시스템에서 다수의 프로세스를 동작하게 한다.

> 페이지 파일

> 하이버네이션 파일

물리메모리 덤프

1. 하드웨어를 이용한 덤프

- PCI 장치를 이용한 덤프; 추가적인 하드웨어/소프트웨어의 설치 없이 무결성을 최대한 보장

- FireWire를 이용한 메모리 덤프; 윈도우,리눅스,맥OS에서 가능

2. 소프트웨어를 이용한 덤프

- Win(32&64)dd

- Memorize

- FD(fastDump) Pro

3. 크래시 덤프

- Blue Screen of Death 발생 시 자동 생성, WinDdg,Kernel Memory Space Analyzer 등을 통해 디버깅 가능

- 물리메모리에 가장 최소한의 영향을 미치는 방법

- 윈도우만 지원

4. 가상화 시스템 덤프

5. 절전모드 덤프

- 절전모드로 진입 시 메모리를 압축하여 C:\hiberfil.sys 파일로 저장

- 추가적인 프로그램이나 장비 불필요

- 전체 메모리 영역의 덤프가 아닌 사용 중인 영역만 덤프

(콜드부트 : 종료된 시스템 메모리를 차갑게 유지시켜 메모리 손실을 줄이는 방법)

(%주로 소프트웨어 방식을 이용해 메모리 덤프)

>> 주의사항

덤프한 메모리는 외장저장장치에 저장

외장저장장치 인터페이스에 따라 수집 속도 차이

침해사고의 경우 현장 상황에 따라 D:\ 볼륨을 이용하는 것도 고려해야한다.

초기 메모리 분석 방법

> 문자열 추출 : 특정 패턴의 문자열 검색, (이메일, 계정, 비밀번호, 메신저 대화 등)

> 파일 카빙 : 그래핑 이미지, HTML, 레지스트리 등 파일 카빙 기법으로 파일 획득

오브젝트 검색

> 물리메모리 상의 오브젝트를 찾기 위한 방법 : 

- 리스트 워킹(list-Walking)

* EPROCESS 프로세스 이름을 이용한 프로세스 탐색 기법

* KPCR(Kernel Processor Control Region)을 이용한 프로세스 탐색 기법

* DKOM과 같은 프로세스 은닉 기법 탐지 불가능...!!

- 패턴 매칭(Pattern Matching)

* 프로세스 구조체의 패턴을 이용해 메모리 영역 전체 검색

* 은닉 프로세스라도 동일한 프로세스 구조체를 가짐

%개인적으로 생각하고 느낀것을 적었습니다. 조금 다른 견해가 있을 수 있습니다.%

포렌식이라고 하면 일반적으로 흔적을 찾는것이라고 이야기한다.

이러한 흔적은 어떠한 행위를 해야만 흔적이 남게된다. 

따라서 흔적을 지우려한 행위를 한것도 흔적이 될 수 있다. 

그중에 포렌식이란 크게 둘로 나뉘게 되는데

1. 물리적 포렌식

2. 디지털 포렌식

물리적 포렌식은 말 그대로 물리적으로 발생한 상황에 대해서 포렌식을 하는 경우이다. 

예를 들어 하드웨어가 물에 빠져 손상되었거나 했을때 생각해 볼만한 것이 물리적 포렌식이고,

디지털 포렌식은 쉽게말해 컴퓨터와 관련된 작업을 통해 발생한 것에 대해 포렌식을 하는 경우이다.

예를 들어 내가 인터넷 서핑을 한 것에 대한 흔적을 찾는다거나, 악성코드에 감염된 하드웨어에서 흔적을 찾는다거나.

포렌식을 크게 둘로 '물리적 포렌식'과 '디지털 포렌식' 두개로 나누어 보았는데

한편으로 포렌식을 하는 분야는 이렇게 나누어 볼 수 있을 것 같다.

1. 하드웨어 

2. 소프트웨어

이렇게 나누어 볼 수 도 있을 것 같다. 

하지만.

여기서 한번 더 생각해 볼 것이 있는데 소프트웨어이지만 하드웨어랑 크게 연관이 되어있다고 할 수 있는

3. 운영체제 

가 있다.

일반적으로 흔적을 찾는다는 포렌식이 아닌 부분에서 접근을 해보면

-> 증거를 없애려고 하는 부분 (삭제)(조작)

-> 메타데이터를 통한 복제를 확인 (조작인멸)(증거찾기)

-> 방대한 정보를 통해서 포렌서에게 혼란을 주어 더많은 시간이나 비용을 들게 만드는 (혼란 조작)(안티포렌식)

즉, 증거를 인멸한다. 조작된 증거를 찾는다. 포렌식을 힘들게 만든다. 라고 볼 수 도 있겠다.

증거를 인멸한다는 내용은 아까도 말했듯이 증거를 인멸하려는 것도 행위를 한것으로 볼 수 있으므로 행위의 흔적이 남아있음을 알 수 있다.

(예를들어 동영상속의 증거를 지우기위해 동영상 편집기를 사용해 동영상을 편집했는데 동영상의 편집 도구들의 편집 특징이 발견되었다.)

이러한 포렌식의 활용은 주로

<수사>하는 것에서 많이 이루어 지는데

민간측면으로 접근해보면 <침해사고대응> <법무팀> <사립탐정> 등으로 볼 수 있겠고

공공적인측면으로 접근해보면 <군> <경찰> <검찰> 로 볼 수 있겠다.

하나더 나누어 보자면 <연구소> 에서 포렌식 관련 기술을 연구하는 것도 생각해 볼 수 있다.

Nachos

운영체제의 시스템이 구동되는것을 알아보기 위해서 교육용 OS인 Nachos라는 프로그램을 사용하게되는데 C와 Java등 여러가지 언어를 지원하고 있어 편하게 이용할 수 있다. 

이 Nachos를 Java로 구동시키는데 Cygwin을 사용해 구동해 보려고 한다. 

1. Nachos를 다운 받기전에 Cygwin을 다운받는다. https://www.cygwin.com 

(자신의 운영체제에 따라 32비트 or 64비트를 다운받아야한다. 32비트는 setup-x86.exe // 64비트는 setup-x86_64.exe)

2. 다운받은 Cygwin설치 프로그램을 실행하여 진행하는데 설정같은거 건드리지말고 기본 설정으로 진행을 한다. 

(다음 다음 다음 다음 다음 다음...)

3. 넘어가는 중간에 아래와 같이 다운로드 사이트를 선택하는 화면이 나올텐데 여기서 필자는 그나마 아는 ftp서버인 daum으로 설정하고 진행했다.

(http://ftp.daum.net 선택 후 진행) 여기서 선택하는 건 앞으로 설치할 패키지프로그램(?)을 다운받는 위치인 것 같다.

4. 다음 버튼을 눌러 진행하게 되면 아래와 같은 화면이 나올것이다. 

여기서 우리는 Search에 make를 입력하고 (make 입력하고 enter등 버튼 클릭안해도 자동으로 Search가 된다. 기다려라) 아래 사진 처럼 Devel 안에 make: The GNU version of the 'make' utility 를 찾고 skip이라고 써있는 걸 누르면 아래 사진과 같이 바뀌게 될 것이다.

5. 4번을 실행하고 나면 다음으로 넘어가지 말고 gcc라는 키워드를 다시 Search하여 4번과 같은 방법으로  아래의 사진과 같이 만들어준다.

(Devel안에 gcc-core:GNU Compiler Collection (C,OpenMP) 을 찾아 Skip을 누르면 아래 사진과 같이 바뀌게 될 것이다.)

6. 이렇게 진행 하고 나면 이제 Nachos를 다운받아준다. ( Nachos다운 )

7. 다운받은 Nachos 압축 파일을 cygwin home 폴더 안 user이름(각자 자신의 컴퓨터마다 다를것이다.) 폴더에 넣어준다.

(필자의 경우 기본적으로 설치를 진행하여 C드라이브 최상위 폴더 cygwin64에 home 디렉토리에 user이름(ConvergenceSecurity) 폴더안에 넣어주었다.  아래 사진은 home디렉토리를 나타내는 사진이다.)

8. 자, 이제 기본 구성은 다 끝났다 Cygwin을 실행시켜보자!!

9. 실행을 시키고 나서 nachos압축 파일을 압축 해제한다. (압축 해제하는 명령어 : tar -zxvf 압축파일명(nachos-java.tar.gz))

10. 9번까지 실행하고 나면 아래 사진과 같이 nachos압축파일을 넣었던 폴더에 압축이 해제되어 nachos 폴더가 생성되어있을 것이다.

11. 거의 다왔다. 우리는 Java 코드를 사용할 것이기 때문에 Java의 환경변수를 알려주어야한다.  

따라서 위사진에서 볼 수 있듯이 .bash_profile을 편집기로 실행하여 (메모장으로는 편집이 되지 않는다. notepad++ 이나 atom 등 편집기로 편집을 해 주어야한다. ) 맨 아랫줄에 Java JDK의 위치를 추가하고 저장한다. 

필자의 경우 JDK의 주소는 C:\Program Files\Java\jdk1.8.0_111\bin 이기 때문에 아래 사진과 같이 선언을 해주었다. 편집기는 atom을 사용.

(export PATH=$PATH:"C:\Program Files\Java\jdk1.8.0_111\bin")

12. 이제 다 끝났다. cygwin에서 javac를 쳐본다.  아래 사진과 같이 옵션의 정보가 뜬다면 성공!!! 

그렇지 않고 에러메세지가 뜬다면 Java JDK의 경로 설정을 잘 해주었는지 다시한번 확인해보고 cygwin도 껐다가 다시 켜보기도 해보아라.

13. 이제 실행을 시켜 볼 것이다. nachos/proj1폴더로 이동해서 실행해 보겠다.

cd 명령어를 통해 nachos/proj1 폴더로 이동해주고, make 명령어를 통해 컴파일을 한다. 

( nachos안의 소스코드를 수정하였을 경우 cgywin에서 실행할때 make명령어를 실행해 수정된 소스코드를 다시 컴파일 시키고 실행시켜야 수정된 소스코드가 반영된다. )

그리고 ../bin/nachos 를 입력하여 nachos를 실행시켜본다.

아래 사진처럼 잘 작동되면 성공!!!!!!!!  축하합니다!!!

프로그래밍 언어

>기계어 (0,1)

>어셈블리어 (니모닉 기호(mnemonic symbol))

> 고급언어 (C,JAVA) (절차 지향 언어, 객체 지향 언어)

JAVA <플랫폼 독립성이다>

> 제임스 고슬링 (James Gosling)

> 플랫폼 호환성 문제 해결 : C언어같이 플랫폼이 종속되어 있었는데 자바의 JVM(자바가상머신)을 통해 WORA(Write Once Run Anywhere) 실현

단, JAVA언어는 플랫폼 종속적인것이 아니지만 JVM은 플랫폼 종속적이다. 

WORA를 가능하게 하기 위한 특징은 아래와 같다.

> 바이트 코드 (Byte Code)

> JVM (Java Virtual Machine)

바이트 코드

> 플랫폼 종속성이 없이 자바 가상 기계인 JVM에 동작하는 바이너리 코드

> 클래스 파일에 저장

> 컴퓨터 CPU에 의해 직접 실행되지 않는다. (JVM이 인터프리터 방식으로 바이트 코드 해석, 해당 플랫폼에서 실행시킴)

자바 가상 기계

> 각기 다른 플랫폼에서 동일한 자바 실행 환경 제공

> 자바 가상 기계는 플랫폼에 종속적이다.

> 자바 가상 기계가 class(클래스) 파일을 실행한다.

JAVA의 특성

> 객체지향 (클래스 계층구조, 상속성, 다형성, 캡슐화)

> 멀티스레드 

> 소스(.java) 와 클래스(.class) 파일

클래스 파일에는 단 하나 만의 클래스만 존재.

하나의 소스파일에 여러 클래스를 작성 가능 (단, public 클래스는 하나만 가능하다.)

소스 파일의 이름과 public 으로 선언된 클래스 이름은 같아야 한다.

로그인 --> 내가 사용자라는 것을 인증한다. 

쿠키를 헤더에 넣어서 보낸다. 세션을 위한 쿠키를 세션 쿠키라고 한다. (의미를 가지고있지는 않다.)

1970년1월1일 0시가 기준이다. (타임스태프) (유닉스시간) (Y2K버그)

타임스태프는 int 형이다.  

(자료형참고)

쿠키와 세션의 차이 

쿠키 : 클라이언트 --> 세션쿠키가 세션에 대응되는 값 이 저장되어있다. 

세션 : 서버 --> 

쿠키 탈취로 치명적인 것은 개인정보 탈취이다. 따라서 개인정보 확인시에 비밀번호를 한번더 입력해서 방지할 수 있다. 

쿠키로 인증하는 것 뿐만 아니라 쿠키 + ip를 통해서 인증을 요구하는 곳도 있다. 

인증 & 인가 (Authentication & Authorization)

인증 : 클라이언트가 자신이 주장하는 사용자와 같은 사용자인지를 확인하는 과정 ( ID & PASSWORD )

인가 : 권한부여, 클라이언트가 하고자 하는 작업이 해당 클라이언트에게 허가된 작업인지를 확인 ( 글쓰기, 글삭제, )

인증 : 알고있는 것( ID & PASSWORD, PIN<비밀번호와 다른> ), 가지고있는거( 보안카드, OTP, 민증 ),  나 그 자체( 지문, 홍채 ) 

#주민증이 나와서 인증을 할 수는 있지만 인가가 없기 때문에 술 담배를 살 수 없다. 

오탐과 정탐에 대해 알아보자

서비스가 민감 할 수록 다양한 인증을 필요로한다. ( 은행 공인인증서 비밀번호로 공인인증서를 복호화 하는 과정에 속하게 된다. 한번더 할때 - 서명한다.)

OTP ( one time password )

서버가 클라한테 임의의 숫자를 주고 클라가 그거 인증해서 인증을 성립시킨다. 

-> 둘이 알고리즘 하나를 공유한다. (ex *10 /3이라는 알고리즘) 시간을 가지고 임의의 값을 나타내 줄 수 있다. 

-> 시간은 알고 있을 수 있지만 알고리즘은 알 수 가 없다. 

*쿠키는 시간이 알려지면 취약하지만 OTP는 알고리즘이 알려지면 취약하다고 말할 수 있다. (알고리즘을 알아내는 것은 알아내기가 더 어렵다.)

전신기(모스) -> 전화기(무선으로 보낸다.)

0,1로 된 아름다운 직선은 없다. 실제로는 노이즈가 섞인 데이터들이 전송, 전달된다. 

역치값을 설정해서 어느정도 이상이면 높다고 생각해 줄 수 있다.

패리티검사(패리티비트) // 확장 아스키코드 char = 1바이트 = 2^8 = 256가지  => 총 256가지 

  // 기존 아스키코드 127가지 

한비트가 비어있는 것은 패리티 비트로 사용하기 위해 남겨 졌다. 홀수짝수를 확인해서 맨 앞에 홀수패리티 짝수 패리티를 적어서 보내준다. 

> 현재는 거의 안한다. 교과서적으로는 다른 레이어에서 검사를 해줄 수 있는데  팩트로 기술이 좋아져서 필요성을 느끼지 못한다. 

카이사르 ,시져암호(알파벳 자리이동) < 율리우스 카이사르 (가이어스 쥴리어스 시져) > 

비즈네르 암호 < 빈도수 > 

RSA

굴리엘모 마르코니 

HASH암호(16진수로 나타냄, 2^4승)

해쉬암호화라고 하지말자

md5 sha-1

BASE64 알고리즘 찾아보고 특징 알아보기

강한 충돌 회피, 약한 충돌 회피 

RSA

ㅎ

해시 테이블 

라우터에 연결되어있는 mysql 연결 라우팅 하기

반복된걸을 모듈단위로 묶는다 재사용한다. 

묶을수 있으면 어지간하면 묶는다. 

exports로 connection을 빼준다.

mysql잘라내기해서 app.js같은곳에 db-con.js 새로 만들어 준다.

> 그곳에 넣어주고

> module.exports = connection; require했을때 connection 튀어나옴

> 소스코드 자체를 가져옴

const connection =require('./db-conn'); -> conncetion을 가져온다. 

---

따로 가져오면 

exports.connection = connection;

>const connection = require(./db-conn).connection

-----------------------------------------------------------------------

const connection = require(;./mysql;).connection

두번 다 해서

AJAX

새로고침 안되고 받아와서 뽑아내준다.  --> 자동완성(ajax)으로 구현했다.  // 젤 중요한거 : 새로고침을 하지 않아도 데이터를 받을수 있다. 

ajax로 요청한 데이터를 뒤로가기로하면 다없어지고 홈페이지 들어오기 전에 상태로 들어옴.(push state로 한다. PJAX<explorer사용불가>)

쿠키랑 세션이랑 사용하는게 HTML에서 연결을 끊어내기 때문이다. (요청하고 응답하고 나면 끝이기 때문이다.)

iframe 은 창 안에 새롭게 또 띄워주는 것 

데이터 베이스 보기 

SHOW DATABASES;

데이터베이스에서 내가 작업할 것 선택하기 

USE (데이터베이스);

데이터베이스에서 테이블 보기

SHOW TABLES;

데이터베이스 지우기 

DROP DATABASES (데이터베이스);

테이블 안에 내용 보기

desc (테이블);

테이블 생성 

CREATE TABLE (테이블명) (

ex) > name varchar(20) not null,

ex) > phone varchar(20) not null);

테이블 안에 값 확인해보기 

select *from (테이블명);

테이블 값 집어 넣기

insert into (테이블명) (칼럼1,칼럼2) values (칼럼1값, 칼럼2값);

Node.js서버에서 express를 사용해서 route해보기

우선 npm install express --save 을 해서 express모듈을 사용 할 수 있도록 만들어준다음에 

서버로 들어가는 app.js 파일에 아래 코드 추가

const express = require('express'); 
// express의 라우터를 사용하기 위해서 정의
const router = express.Router(); 

... 이후에

//로그인창 라우팅 명시 < url의 루트(/)이고 라우팅 위치는 현재디렉토리의 routers/login >
app.use('/',require('./routes/login').router);
//회원가입창 라우팅 명시 < url의 /signin이고 라우팅 위치는 현재디렉토리의 routers/singin >
app.use('/singin',require('./routes/signin').router);



각 js로 이동해서 살펴보면

위와 같은 express사용위한 코드를 작성하고

//라우팅 하여서 html파일의 위치를 명시해주면된다. 
// root에 있다는 것을 표현
router.get('/', function(req, res) {
  fs.readFile('login.html',(err,data)=>{
    if(err){
      console.log(err);
    }else{
      res.writeHead(200,{
        'Content-Type':'text/html'
      });
      res.end(data);
    }
  });
});

마지막에 라우터를 빠져나가는 코드 추가한다. 

exports.router = router;

최근 많은 숙박 어플들이 생겨나서 해외여행시 숙박을 해결하는데 많은 도움이 되고있다.

많이 이용하는 숙박어플에는 

호텔스닷컴, 익스피디아, 아고다, 호텔스컴바인 등 이 있는데 

우리는 그중 agoda를 이용했고 agoda를 이용해본 후기를 적어보려고 한다.

우리는 난바역 근처에 있는 조그만 아파트를 예약했고 총4박5일 234,000원에 예매했으며 인당 78,000원의 요금이 들었다. 

원화로 결제를 하게되면 수수료가 붙는다???!!!!!

아고다 홈페이지에서 원하는 지역과 날짜를 정하고 요금을 검색하면 목록이 나오게 된다. 

그중에 원하는 숙박시설로 결정하고 결제를 하면 되는데 

위의 홈페이지에서 보이는 것과 같이 로그인 정보 옆에 사용하는 통화가 KRW로 한국 원화로 되어있다는 것을 확인 할 수 있다. 

하지만 이렇게 한화로 결제를 하게 되면  환전수수료가 붙게 되어 원래보다 더 많은 수수료를 내야한다. 

그이유는 비자, 마스터카드같은 해외결제 가능 카드들을 사용하게 되면 결제대금을 달러화로 환산해 국내 카드사에 청구를 하기 때문인데

따라서 우리에게 청구되는 금액은 달러 환산 금액으로 청구가 된다. 

예를 들어 일본에 있는 호텔을 예약하는데 

결제통화를 원화로 하고 카드결제를 하게 되면 

원화 -> 엔화 -> 달러 -> 원화 

이렇게 총 3번에 걸쳐 통화 변경이 일어나게 되고 그만큼의 수수료가 붙여져서 청구가 될 것이다. 

하지만 

결제통화를 현지통화로 하고 카드결제를 하게 되면

엔화 -> 달러 -> 원화 

이렇게 2번에 걸쳐 통화 변경이 일어나기 때문에

현지통화로 설정해서 결제를 하느냐 안하느냐에 따라 수수료를 덜 내고 좀더 내고의 차이가 발생한다. 

그럼 애초에 달러로 결제하면 안되냐고 생각할 수 있는데 달러로 하게돼도

달러 -> 엔화 -> 달러 -> 원화 이렇게 3번에 걸쳐 통화 변경이 일어나기 때문에 원화로 결제하는 것과 다를 바가 없다. 

결론!!!

여행가려는 숙소의 현지통화로 결제를 진행하자!!!

사진에서와 같이 통화가 써있는 것을 누른다음에 원하는 통화로 눌러 변경한후에 결정하면 된다. 

쉽다~