Skip navigation

Monthly Archives: March 2008

Direct Memory Access를 이용한

Windows Physical Memory Forensics 정리(????? -_- 현재까지…)판

msramdmp, 1394memimage, winlockpwn 사용법등 정리
(기존 포스트는 자삭~~~)

directmemoryaccess.pdf

Advertisements

fdisk를 이용해서 filesystem 2개를 잡고 (/dev/sda1, /dev/sda2)

mkfs.ext3 /dev/sda1, mkswap /dev/sda2

그리고 /dev/sda1을 마운트 시키는 과정 까지는 기존(back Track 2) 방식과 동일하나…

X-Window(KDE) 환경에서 backtrack installer를 돌릴때

bt3.jpg

위 그림에 흰색 박스의 체크를 없애주어야

HDD(/dev/sda1)에 인스톨후 정상적인 부팅이 가능하다.  🙂

오늘의 tip ㅋ

현재는 1G 짜리 USB에

TrueCrypt 실행파일과 mount 대상 파일만 넣고

그래도 비는 공간을 그림파일과 txt 파일로 꽉꽉 채워 넣은 다음

(아~~ 지긋지긋한 autorun.ini with .vbs ; USB Worm 때문에)

TrueCrypt 이미지에 PortableApps 올려서 사용중인데….

더 좋은 방법 없을까???

– Virtual Application에 대한 소고-

일단 MojoPac 은 USB Stick에서 돌리기에는 프로그램이 너무 무겁고
지원되는 소프트웨어가 의외로 작으며

Thinstall은 최대한 Host 독립적으로 프로그램을 만들려면 Size가 너무 커진다.

– 숙제

1. 일반 USB를 파티셔닝 해서 CDFS를 만드는법
True Crypt를 Read-Only CDFS에 넣고 나머지 파티션을 통으로 암호화 하고 싶다규!

2. Thinstall 을 이용한 Standalone Application을 완벽하게 Host 독립적으로 만들어내기