뭐든지 할 수 있어

정보보안에 관련된 공부를 해오면서 윈도우의 포렌식을 다루는 자료들은 많이 보았지만, MAC os를 다루는 부분들은 많이 보지 못했다.

앞으로 MAC OS에 관한 포렌식 기법을 공부하면서 공부한 내용을 정리해 블로그에 올려볼 생각인데 , 나처럼 처음 MAC OS 포렌식에 관해 공부하는 사람들에게 도움이 되었으면 하는 마음이다.

💾 디스크 이미징

MAC OS 시스템의 하드 디스크나 저장 매체를 복제하여, 이미지 파일로 저장한다. 이미지 파일에는 원본 디스크의 모든 데이터가 포함된다.보통 이미지 파일이라고 하면 우리가 흔히들 아는 사진 파일(JPG, PNG 등)을 떠올릴 수도 있겠는데, 이와는 다르다. ‘디스크 이미지’라는 개념이 따로 있다. 디스크 이미지 파일은 하드 디스크나 저장매체 등의 전체 내용을 복제해 저장한 것이다.

이러한 이미지 파일은 바이너리(2진) 형태로 구성되고, 디스크의 *섹터 단위로 데이터를 복사한다. 디스크의 각 섹터는 일정한 크기로 구성되어 있고, 디스크 이미징은 이러한 섹터를 하나하나 읽어와서 이미지 파일을 생성한다. 원본 디스크의 데이터와 구조를 완벽하게 복제하는 것이다.

*섹터: 컴퓨터가 주소지정을 할 수 있는 최소의 단위 저장공간. (256 바이트 또는 512바이트)

디스크 이미징은 디지털 포렌식 분야에서 중요한 역할을 한다. 디지털 증거를 보존하고 분석하기 위해 사용되며, 범죄 조사나 디지털 증거 수집시에 원본디스크를 변경하지 않고 조사하기 위해 이미지로 복제한다. 원본 데이터의 무결성을 보장하고 변조를 방지할 수 있기 때문이다.

맥 OS에서는 디스크 이미지의 확장자로 .dmg를 사용한다.

확장자 설명

이해하기 쉽게 예시를 들어 보았다.

💡 마인크래프트 게임을 플레이하며 평지 유한맵에 예쁜 건축물을 만들었다. 
이제 그 건축물을 친구에게 공유하고 싶어서 설계도를 만들기로 했다. 
설계도를 생성하기 위해서는 건축물의 각 블럭 위치와 종류를 기록해야 한다. 
이 과정에서 각 블럭의 위치와 종류를 따로 저장하고, 이 정보를 합쳐서 설계도를 만들게 된다.

이제 친구에게 설계도를 공유하고, 친구는 설계도를 보고 그에 따라 블럭을 설치하여 건축물을 재현한다. 
설계도를 받은 친구는 설계도에 적혀있는 블럭의 위치와 종류를 보고 그 건축물을 그대로 만들 수 있게 된다.

여기서 마인크래프트 건축물 설계도가 디스크 이미지이고, 
각 블럭의 위치와 종류를 기록하는 과정이 디스크 이미징과 비슷한 과정이라 볼 수 있다. 
디스크 이미징은 원본 디스크의 모든 데이터를 복제하여 이미지 파일로 저장하는 것이기 때문에, 
건축물 설계도도 원본 건축물의 모든 정보를 포함하고 있다.

💾  디스크 유틸리티를 사용하여 디스크 이미지 생성하기

참고문헌 : APPLE 공식 문서

디스크 이미지는 디스크 유틸리티를 사용하면 의외로 쉽게 만들 수 있다. 어려워 보이는 말과는 다르게 디스크 유틸리티 앱에서 파일> 새로운 이미지를 클릭하면 몇 번의 마우스 딸각거림만으로도 생성된다.

필자 또한 하나를 완성했다.

추가적으로 , 애플의 디스크 유틸리티는 디스크 이미지 암호화를 지원한다. 이는 암호화 팝업 메뉴를 클릭한 다음 원하는 암호화 옵션을 선택하면 된다.

디스크 이미지를 만들 때 여러가지 선택옵션들을 마주하게 될 텐데, 너무 겁먹지 말아야 한다. 하나하나 자세히 뜯어보니 별 거 아니다 (라고 생각했는데 글 편집하는 와중에 엄청 복잡하다는 걸 알게 되었다ㅣ ㅋㅋ)

포맷 팝업 메뉴

APFS 또는 APFS(대소문자 구분) SSD(Solid State Drive)가 내장되어 있고 macOS 10.13 이상이 설치된 Mac에서 디스크 이미지를 사용하는 경우

이미지 포맷 팝업 메뉴

분할 번들 디스크 이미지 아래의 분할 디스크 이미지와 동일하지만 이미지의 디렉토리 데이터가 다르게 저장됨. .sparsebundle 파일 확장자를 사용

디스크 유틸리티는 Finder에서 저장한 위치에 디스크 이미지 파일을 생성하고 데스크탑과 Finder 사이드바에 디스크 아이콘을 마운트한다.

*마운트 : 다음 게시물에서 다뤄볼 예정

이 과정이 모두 끝났다면 Finder에서 파일을 마운트된 디스크 이미지로 복사한 다음 추출하면 디스크 아미지 생성이 완료된 것이다.

🤷🏻‍♂️마무리 

포렌식 기법에 대해서는 할 말이 더 많고, 공부해야 할 것도 많겠지만, 일단 입문했다는 것에 중점을 두고 앞으로 더더욱 공부해 나가볼 예정이다.

표현식은 문의 일부일 수도 있고, 그 자체로 문이 될 수도 있다.

• 변수 선언문은 값으로 평가될 수 없으므로 표현식이 아니다

var x;

→ 1,2,1+2,x=1+2는 모두 표현식이다

→ x=1+2 는 표현식이면서 완전한 문이기도 하다

x = 1+2

이처럼 표현식과 문은 비슷해서 구별하기 어렵다고 느낄 수 있다

→ 하지만 표현식과 문을 구별하는 방법은 의외로 간단하다.

• 표현식인 문

→ 값으로 평가될 수 있는 문

• 표현식이 아닌 문

→ 값으로 평가될 수 없는 문

ex) 변수 선언문은 값으로 평가될 수 없다

→ 표현식이 아닌 문이다

ex2) 할당문은 값으로 평가될 수 있다.

→ 표현식인 문이다

표현식인 문과 표현식이 아닌 문을 구별하는 가장 간단하고 명료한 방법 : 변수에 할당해 보는 것

→ 표현식인 문은 값으로 평가됨 → 변수에 할당할 수 잇다

But 표현식이 아닌 문은 값으로 평가할 수 없음 → 변수에 할당하면 에러가 발생

var foo = var x;

변수 선언문은 표현식이 아닌 문이라, 값으로 평가 될 수 없다.

var x;

할당문은 그 자체가 표현식이지만 완전한 문이기도 하다.

→ 할당문 : 표현식인 문

x = 100;

이에 반해 위 예제의 할당문 x=100은 그자체가 표현식이다. → 즉, 할당문은 표현식인 문이기 떄문에 값처럼 이용할 수 있다.

🎈크롬 개발자 도구에서 표현식이 아닌 문을 실행하면 언제나 Undefined를 출력한다.

→ 이를 완료 값이라 한다.

→ 완료값은 표현식의 평가 결과가 아니다

→ 따라서 다른 값과 같이 변수에 할당할 수 없고 참조할 수도 없다

크롬 개발자 도구에서 표현식인 문을 실행하면 언제나 평가된 값을 반환한다.

오늘의 타임라인 : 없음

기상시각: 13시 즈음...

1. study  - deep dive

https://insidepixce.tistory.com/152

https://insidepixce.tistory.com/153

https://insidepixce.tistory.com/154

https://insidepixce.tistory.com/155

https://insidepixce.tistory.com/156

https://insidepixce.tistory.com/157

https://insidepixce.tistory.com/158

https://insidepixce.tistory.com/159

https://insidepixce.tistory.com/160

공부를 많이 한 것 같지도 않았고, 늦게 일어났는데 심지어 항해 99 오티도 있었다

항해 99에서 정말 좋으신 분을 만난 것 같았다. 인생에 조언을 얻었다 ><

항해 제 자리... 좀 귀엽지 않나요

새로운 프로젝트 진행

학교 선배가 플젝 하나 같이하자고 들고오셨다 !

학교 eclass에 있는 강의 다운로드 하기 -> 가 목적이였음

다운로드 가능한 URL 만들기: URL 입력 시 -> hostname 변경
용량 정보 가져오기; HEAD 요청 후 Content-Length 추출
파일 저장 로직; GET 요청 후 body 정보를 blob 객체로 파싱
파일 다운로드 로직: 불러온 blob 객체를 downloadjs 라이브러리를 통해 저장

이정도 구상에서 좀 더 추가해보려 한다. 

자기는 글렀군.

세미콜론(;)은 문의 종료를 나타냄

→ 자바스크립트 엔진은 세미콜론으로 문이 종료한 위치를 파악하고 순차적으로 하나씩 문을 실행한다.

→ 따라서 문을 끝낼 때는 세미콜론을 붙여야 한다.

→ 단, 0개 이상의 문을 중괄호로 묶은 코드 블록 뒤에는 세미콜론을 붙이지 않는다

• 이러한 코드 블록은 문의 종료를 의미하는 자체 종결성을 갖기 때문

문의 끝에 붙이는 세미콜론 : 옵션

→ 세미콜론은 생략 가능함

→ 자바스크립트 엔진이 소스코드를 해석할 때 문의 끝이라고 예측되는 지점에 세미콜론을 자동으로 붙여주는 기능 [세미콜론 자동 삽입 기능 : ASI] 이 암묵적으로 수행됨

• 세미콜론 자동 삽입 기능의 동작과 개발자의 예측이 일치하지 않는 경우가 있음

function foo () {
	return
	{}
}

cosnole.log(foo{});

⇒ASI의 동작 결과 : return; {};

⇒개발자의 의도 : return{};

⇒결괏값 : undefined

var bar = function () {}
(function() {})();

⇒ASI의 동작결과 : var bar = function (){}function() {})();

⇒개발자의 예측 : var bar = function() {}; (function(){})();

⇒결괏값 : TypeError: (intermediate value)(…) is not a function

• 세미콜론을 반드시 붙여야 한다는 주장이 다수를 차지하지만 붙이지 말아야 한다는 주장도 설등력이 있다.
• 하지만 ESLint와 같은 정적 분석 도구에서도 세미클론 사용을 기본적으로 설정하고 있고 TC39도 세미콜론 사용을 권장하는 분위기이다/.

앞으로 자바스크립트를 설명할 때 ‘문’과 ‘표현식’이라는 용어가 자주 등장할 것ㄷ이다.

문과 표현식을 구별하고 해석할 수 있다면 자바스크립트 엔진의 입장에서 코드를 읽을 수 있고 실행 결과를 예측하는 데 도움이 된다.

이는 버그를 줄이고 코드의 품질을 높여줄 것이다.

따라서 문과 표현식은 확실히 이해할 필요가 있다.

문

프로그램을 구성하는 기본 단위이자 최소 실행 단위

→ 문의 집합으로 이뤄진 것이 바로 프로그램이며, 문을 작성하고 순서에 맞게 나열하는 것이 프로그래밍

→ 문은 토큰으로 이루어져 있다

→ 명령문 (컴퓨터에 내리는 명령어)

→ 문이 실행되면 명령이 실행되고 어떤 일이 일어나게 된다

→ 선언문, 할당문, 조건문, 반복문으로 구분할 수 있다.

• 변수 선언문을 실행하면 변수가 선언되고, 할당문을 실행하면 값이 할당된다
• 조건문을 실행하면 지정한 조건에 따라 실행할 코드 블록이 결정되어 실행된다
• 반복문을 실행하면 특정 코드 블록이 반복 실행된다.

토큰

→ 문법적인 의미를 가지며, 문법적으로 더 이상 나눌 수 업ㅈ는 코드의 기본 요소를 의미

ex) 키워드 , 식별자, 연산자, 리터럴, 세미클론(;) , 마침표(.) 등의 특수 기호는 문법적인 의미를 가지며, 문법적으로 더 이상 나눌 수 없는 코드의 기본 요소이므로 모두 토큰

var sum = 1 + 2

이때 var, sum, =, 1, +, 2 전부 다 토큰이다 .

표현식? 값으로 평가될 수 있는 문

→ 표현식이 평가되면 새로운 값을 생성하거나 기존 값을 참조

→ 앞서 살펴본 리터럴은 값으로 평가된다. 따라서 리터럴도 표현식이다

var score = 100;

위 예제의 100은 리터럴이다. 리터럴 100은 자바스크립트 엔진에 의해 평가되어 값을 생성하므로 리터럴은 그 자체로 표현식이다.

var score = 50 + 50 ;

50+50은 리터럴과 연산자로 이루어져 있다. 하지만 50+50도 평가되어 숫자 값 100을 생성하므로 표현식이다.

score; // ->100

변수 식별자를 참조하면 변수 값으로 평가한다. 식별자 참조는 값을 생성하지는 않지만 값으로 평가되므로 표현식이다.

이처럼 표현식은 리터럴, 식별자(변수, 함수 등의 이름), 연산자, 함수 호출 등의 조합으로 이뤄질 수 있다.

→ 값으로 평가될 수 있는 문은 모두 표현식이다

리터럴 표현식

10

식별자 표현식

sum 
person.name
arr[1]

연산자 표현식

10 + 20
sum=10
sum !== 10

함수/메서드 호출 표현식(선언이 이미 존재한다고 가정)

square()
person.getName()

표현식은 값으로 평가됨

→이때 표현식과 표현식이 평가된 값은 동등한 관계, 즉 동치이다

예를 들어, 수학 수식 1+2 =3에서 1+2는 3과 동치이다.

즉, 1+2는 3과 같다고 할 수 있다.

자바스크립트의 표현식 1+2는 평가되어 값 3을 생성하므로 1+2 와 값 3은 동치이다.

→ 표현식은 값처럼 사용할 수 있다.

→ 문법적으로 값이 위치할 수 있는 자리에는 표현식도 위치할 수 있다는 것을 의미

var x = 1 + 2;
x + 3;

식별자 표현식 x는 3으로 평가한다

위 예제의 x + 3은 표현식이다.

+연산자는 좌항과 우항의 값을 산술 연산하는 연산자 → 좌항과 우항에는 숫자 값이 위치해야 함

이때 좌항 x는 식별자 표현식이다.

→ x는 할당되어 있는 숫자 값 3으로 평가된다

→ 따라서 숫자 값이 위치해야 할 자리에 표현식 x를 사용할 수 있다

→ 이처럼 표현식은 다른 표현식의 일부가 되어 새로운 값을 만들어낼 수 있다.

리터럴? 사람이 이해할 수 있는 문자 또는 약속된 기호를 사용해 값을 생성하는 표기법

//숫자 리터럴 3
3

위 예제의 3은 단순한 아라비아 숫자가 아니라 숫자 리터럴이다.

사람이 이해할 수 있는 아라비아 숫자를 이용해 숫자 리터럴 3을 코드에 기술하면 자바스크립트 엔진은 이를 평가해 숫자 3을 생성한다.

이처럼 리터럴은 사람이 이해할 수 있는 문자(아라비아 숫자, 알파벳, 한글 등) 또는 미리 약속된 기호 (’’, “”, [], // 등)으로 표기한 코드이다.

자바스크립트 엔진은 코드가 실행되는 시점인 런타임에 리터럴을 평가해 값을 생성한다

→ 값을 생성하기 위해 미리 약속한 표기법

리터럴예시비고

값? 식(표현식)이 평가되어 생성된 결과

평가? 식을 해석해서 값을 생성하거나 참조하는 것을 의미함

10 + 20; //30

모든 값은 데이터 타입을 가지며, 메모리에 2진수, 즉 비트의 나열로 저장된다.

메모리에 저장된 값은 데이터 타입에 따라 다르게 해석될 수 있다.

→ 메모리에 저장된 값 0100 0001 을 숫자로 해석하면 65만 문자로 해석하는 ‘A’ 이다.

변수는 하나의 값을 저장하기 위해 확보한 메모리 공간 자체 또는 그 메모리 공간을 식별하기 위해 붙인 이름.

→ 변수의 할당되는 것은 값이다

var sum = 10 + 20;

위 예제에 sum 변수에 할당되는 것은 10+20이 아니라 10+20이 평가된 결과인 숫자 값 30이다.

→ sum 이 기억하는 메모리 공간에 저장된 것은 10_20이 아니라 값 30이다.

→ 따라서 10+20은 할당 이전에 평가되어 값을 생성해야 한다

값은 다양한 방법으로 생성할 수 있다. 위 예제처럼 식으로 생성할 수도 있지만 가장 기본적인 방법은 리터럴을 사용하는 것이다.