파일 카빙 ( File Carving ) metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, …)를 이용해 디스크의 비할당 영역에서 파일을 복구하는 기법. * 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다. http://forensic.korea.ac.kr/DFWIKI/...

install standalone 보다는 Source code로 직접 받아야 profile을 추가할 수 있다. Source code 압축 해제하면 setup.py가 있는데 import volatility할거 아니면 안하는게 좋다. 그냥 디렉토리 적당한 곳으로 옮기고, vol.py에 symlink 걸어서 사용하면 끝이다. profile 추가 Windo...

SQL Escape method mysqli::real_escape_string 이스케이프 문자 목록 ' " \ \x00(NUL) \x1a(EOF) \n \r 아래는 모두 동일한 함수. string mysqli::escape\_string ( string $escapestr ) // alias string mysqli::...

struct task_struct current /v4.13.8/source/include/linux/sched.h#L519 struct task\_struct { #ifdef CONFIG\_THREAD\_INFO\_IN\_TASK /\* \* For reasons of header soup (see current\_thread\_info...

hook sys_call_table #include <linux/module.h> // included for all kernel modules #include <linux/kernel.h> // included for KERN\_INFO #include <linux/init.h> // includ...

아키텍쳐마다, OS마다 동작이 다르기 때문에 상황에 맞게 생각해야 한다. 다음 환경에서 테스트 root@kali32:~/add\_syscall# uname -a Linux kali32 4.13.0-kali1-686-pae #1 SMP Debian 4.13.4-1kali1 (2017-10-03) i686 GNU/Linux get sys_call_t...

Page Protection x86 #1 set_pages_rw , change_page_attr source/arch/x86/mm/pageattr.c int set\_pages\_rw(struct page \*page, int numpages) // use virt\_to\_page() { unsigned long addr = (unsig...

addr_limit system call은 원래 user mode에서 호출하도록 되어 있기 때문에, system call의 인자로 넘어오는 데이터는 user space의 데이터여야 한다. 인자로 kernel space의 데이터가 넘어오면 제대로 동작하지 않는다. kernel은 addr_limit를 기준으로 인자로 넘어온 데이터가 user space d...

Android https://developers.google.com/android/images 삼성도 android를 사용하고, android는 LINUX니까 삼성도 GPL 적용을 받지 않을까? 소스코드 공개해놓았다고 하는데 나중에 필요하면 찾아보기. http://www.android-x86.org/download- x86으로 porting한 이...

Loadable Kernel Module https://www.kernel.org/doc/Documentation/kbuild/modules.txt Note ) root가 아니면 insmod를 사용할 수 없기 때문에, LKM을 등록할 수 없다. LKM을 이용하면 커널을 recompile/reboot하지 않아도 커널에 기능을 추가/확장할 수 있다. ...