가상머신이란, 컴퓨팅 환경을 소프트웨어로 구현한 것,

즉 컴퓨터 시스템을 에뮬레이션(가상현실화)하는 소프트웨어다. 

가상머신 상에서 다른 운영 체제나 응용 프로그램을 설치 및 실행할 수 있다.

가상머신의 사용을 가능하게 해준 기술들에는 x86 가상화 기술

(AMD-V, Intel VT 등) 들이 있으며, 대부분의 가상머신 프로그램들은

이 두 기술을 기반으로 가상머신을 구현할 수 있다.

가상머신 프로그램에는 양대산맥이라고 불리우는 두 프로그램이 있는데,

(VMware, VirtualBox) 그 중 VirtualBox 설치에 대해 소개하고

칼리 리눅스를 설정하는 방법에 대해 소개하고자 한다. 

설치방법)

1. 우선 VirtualBox 공식 홈페이지에 접속한다.

https://www.virtualbox.org/

접속 후 'Download VirtualBox 6.1' 버튼을 누른다.

(Version은 계속 업데이트 될 수 있다.)

2. 버튼을 누르면 Platform 선택 화면이 나오는데 본인이 사용 중인 OS의 Platform을 선택한다.

3. 선택 후 클릭하면 설치파일이 다운로드 된다. 설치파일을 실행한다.

가상머신 생성 및 설치 방법)

1. 설치가 완료되고 프로그램이 실행되면 이러한 화면이 나온다.

    '새로 만들기' 버튼을 통해 가상머신을 만들어줄 수 있다. 물론 가져오기 기능을 통해

    다른사람이 업로드 한 Virtual Box 이미지를 사용할수도 있다.

2. '새로 만들기'를 선택하면 이러한 설정 창이 나온다.

     이름은 본인이 식별가능한 가상머신의 이름을 지정해주고,

     머신 폴더는 해당 가상머신의 모든 정보가 저장되는 폴더의 경로다. (기본값 추천)

     종류는 본인이 만들 가상머신의 운영체제 Platform을 지정한다.

     (이 글에선 Kali Linux를 설치할것이므로 Linux를 선택하였다.)

     버전은 설치할 운영체제의 세부버전을 선택한다 (ex) 32bit, 64bit, Debian, Redhat 등)

3. '다음'을 눌러 넘어가면 가상머신에 할당할 메모리 크기를 설정할 수 있다.

     보통 2GB (2048MB) 이상은 설정해 주어야 쾌적하게 사용할 수 있다.

     (본인 컴퓨터의 사양에 맞추어 선택한다.)

4. '다음'을 눌러 넘어가면 가상머신의 하드디스크 설정 창이 나온다.

     '지금 새 가상 하드 디스크 만들기' 를 선택하고 '만들기' 버튼을 선택한다.

4-1. 하드 디스크 파일의 종류는 원하는 종류로 선택한다.

        (VDI, VHD, VMDK 선택가능)

4-2. 하드디스크의 크기방식을 선택할 수 있다.

        동적할당은 생성이 빠르고, 본인이 가상머신에서 사용하는 용량에 따라 동적으로 크기가 변한다.

        고정크기는 가상머신에 설치하기 전 미리 하드디스크의 크기를 고정하여 선택하는 방식이다.

        원하는 것을 선택하여 '다음'을 클릭한다.

5. 설정을 완료하면 가상머신이 생성된 화면을 확인할 수 있다.

     이 화면에서 상단 '시작' 버튼을 눌러 가상머신을 구동한다.

6. '시작' 버튼을 눌러 가상머신을 구동하면, 시동 디스크를 선택하는 창이 나오는데,

     시동디스크란, 가상머신에 구동할 운영체제 파일 (보통 .iso 파일)을 선택해서 load 해주면 된다.

7. 시동디스크의 load에 성공하면 이 글에서 설치할 Kali Linux의 경우 Installer menu가 나온다.

     여기서 'Graphical install' 버튼을 화살표와 Enter 키로 선택한다.

8. 기본적인 설정은 넘어가고 호스트 이름과 도메인 설정 (홈 네트워크 설정 시에만 설정, 공백) 

     사용자의 이름 설정, 사용자의 암호 설정 등을 진행한다.

9. 기본설정들을 마치고 나면 Kali Linux를 설치 할 하드디스크를 선택할 수 있다.

    '자동 - 디스크 전체 사용'을 선택하고 반드시 앞에서 생성한 가상 하드디스크를 선택해야한다. (VBOX HARDDISK)

    그리고 '모두 한 파티션에 설치'를 선택한다.

10. 마지막으로 하드디스크 선택을 확인하고 '파티션 나누기를 마치고

       바뀐 사항을 디스크에 쓰기'를 선택하고 '예'를 선택해 가상 디스크에 Kali Linux 설치를 진행한다.

11. 설치가 진행됨을 확인할 수 있다.

12. 설치가 완료되면 재부팅이 되고, 재부팅 후 앞서 설정한 비밀번호를 입력해 Login 할 수 있다.

MZK란 Malware Zero Kit 의 준말이며,  대한민국 보안 관련 인터넷 커뮤니티인 바이러스 제로 :

시큐리티 커뮤니티 카페 매니저 ViOLeT이 개발한 무설치 무료 악성코드 제거 도구이다.

프로그램은 설치 프로그램이 아닌 윈도우 배치 스크립트의 구성으로 이루어져있다.

프로그램의 장점으로는 100% 무료 프로그램이며, DB의 꾸준한 업데이트,

유료 프로그램 못지않은 바이러스 / 악성코드 탐지능력 등이 있다.

다만, 단점으로는 자동 업데이트 기능 미 지원, 스크립트 프로그램 기반 특성상 속도가 느린편이라는 점,

Prevent 기능이 없다는 점 정도로 꼽을 수 있다. (감염 시에만 바이러스 / 악성코드 탐지가능)

기능으로는 광고 프로그램 제거, 악성코드 제거, 악성 DNS 제거, 웹 브라우저 검사, 

캐시 청소, 시스템 변조 확인 기능이 있다.

개인적으로 MZK를 한달에 한번은 주기적으로 사용하는편이며,

사용할 때 마다 만족하는 프로그램 중 하나이다.

<설치 및 사용방법>

1. MZK 공식 홈페이지에 접속한다.

https://malzero.xyz/

2. 접속 후 '무료 내려받기' 버튼을 클릭해 프로그램을 다운로드 한다.

3. 다운로드한 파일의 압축을 풀어준다.

4. malzero 폴더에 들어가면, start.bat 이라는 배치파일을 권리자 권한으로 실행.

<실행 유의사항>

4-1. 압축 해제 대상 폴더 및 상위 폴더에 아래에 표시된 특수 문자가 삽입되어 있으면 실행되지 않음.

4-2. 실행 권한 없음 오류가 발생할 경우 Windows 파일 탐색기에서 실행 파일 선택 후 

        마우스 오른쪽 버튼을 클릭하여 표시되는 팝업 메뉴에서 "관리자 권한으로 실행" 항목 클릭

4-3. Windows의 PC 보호(SmartScreen) 기능으로 인해 실행되지 않을 경우
        PC 보호 창의 "추가 정보" 항목을 누른 후 "실행" 버튼 클릭

4-4. 사용자 계정 컨트롤(UAC) 비활성화 환경에서의 표준 사용자 계정 및 게스트 계정의 경우 실행 불가

        (관리자 권한이 필요하기 때문.)

4-5. 모든 백신 및 악성코드 관련 프로그램은 '안전모드'에서 진행하는것이 가장 바람직 함.

5. 실행 후 도구 초기화를 거치면 이런 메세지가 나온다.

여기서 MZK 배경의 색깔이 파란색임을 확인할 수 있는데, 검사 도중 배경 색깔로 전체적인 상황을 확인할 수 있다.

• 녹색 : 문제 없음
• 황색 : 주의해야 할 항목 발견
• 적색 : 악성코드(악성 프로그램) 또는 불필요한 항목 발견

검사 도중 탐지한 악성코드 / 바이러스의 삭제 여부를 알려주며, 당장 삭제가 어렵거나

혹시라도 삭제된 파일의 복원이 필요할 경우 모든 탐지 항목들은 시스템 드라이브 루트에 생성되는

Quarantine_MZ 폴더에 격리(이동 조치 및 실행 불가 처리)되므로 오진이 발생하더라도 

파일의 복원이 가능하다. 오진 없이 처리되었다면 생성된 격리 폴더를 삭제해 마무리하면 된다.

또한 감지되지 않거나, 제거가 불가능한 악성코드의 경우 1번의 공식 홈페이지에서 분석을 요청하여

추후 DB 업데이트에 힘을 보탤 수 있다.

Wireshark는 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다.

패킷분석 관련 GUI 프로그램 중 가운데 제일 간단하고 또 강력한 도구라고 생각한다.

보안 컨설팅, 취약점 분석, 보안 공격등에 폭 넓게 사용되는 도구 중 하나이다.

오늘은 Wireshark를 설치하고 간단한 사용법에 대해 작성하고자 한다.

1. 우선 Wireshark 다운로드 페이지에 접속한다.

https://www.wireshark.org/download.html

2. 페이지에 접속하여 본인 플랫폼에 맞는 설치파일을 다운로드 받는다.

   (설치 중 설정값은 기본값으로 유지하고 진행한다)

3. Wireshark 설치 도중 나오는 Npcap 설치또한 반드시 진행해주어야 한다. 

    (취약점 스캔과 네트워크 검색을 위한 무료 오픈소스 툴이다.

     네트워크 관리자는 Npcap을 사용해 시스템에서 실행 중인 디바이스를 파악하고

     사용 가능한 호스트 및 이러한 호스트가 제공하는 서비스를 검색하고 열린 포트를 찾고 보안 위험을 탐지한다.)

4. 설치가 완료된 후 Wireshark를 실행하면 기본 화면이 나오고 캡쳐할 인터페이스와

   필터 옵션을 선택할 수 있다.

   필터 옵션 : capture filter : 특정 패킷만 캡처 하고자 할 때 사용

                       display filter : 일단 모든 패킷을 받고 그 중에서 원하는 패킷만 확인하고자 할 때 사용

5. 간단한 테스트를 위해 이더넷으로 캡처를 진행하였다.

     이더넷으로 주고받는 패킷의 대한 정보가 실시간으로 업데이트 되어 캡처된다.

파란색 부분은 No. : 패킷을 수집한 순서, Time : 패킷이 캡처된 시간, Source : 패킷을 보낸 주소
                           Destination : 패킷이 도착한 주소, Protocol : 프로토콜 정보, Length : 패킷 길이, Info : 패킷 정보

빨간색 부분은 원하는 필터링 식으로 적용해서 Display 할 수 있다.

예를 들어 eth.addr == [MAC Address] → 출발지나 목적지 MAC 주소로 검색
                  ip.addr == [IP Address] → 출발지나 목적지 IP주소로 검색
                  tcp.port == [Port Number] → TCP 출발지나 목적지 포트 번호로 검색
                  ip.src != [IP Address] → 출발지 IP주소가 해당 IP주소가 아닌것 검색
                  eth.dst == [MAC Address] → 목적지 MAC주소 검색 이런식으로 다양한 필터링이 가능하다.

6. 간단한 테스트를 위해 구글의 Public DNS인 8.8.8.8로 ping test를 진행했다.

7. ping의 동작여부를 확인하기 위해 5번에서 설명했던 필터링에 icmp를 입력한다.

    (icmp란 TCP/IP에서 IP 패킷을 처리할 때 발생되는 문제를 알려주는 프로토콜이다.

    ping 명령어는 icmp 프로토콜에서 작동한다.)

이 처럼 내 Host IP와 8.8.8.8 간의 패킷 교환을 확인할 수 있다. 

8. 단순한 확인뿐만 아니라 TCP Stream, HTTP Stream, Hex Value, Export Objects 기능 등을 활용해

   데이터 분석, 이미지 등 파일 추출 등의 작업이 가능하다.

   이로 인해 네트워크 관련 CTF 문제 풀이 시에는 필수인 툴 중 하나이다.

요즘에는 보통 빠른 접근속도, 빠른 읽기/쓰기 속도, 내구성 등을 이유로

SSD를 사용하지만 용량대비 HDD보다 가격이 비싸 C 드라이브를 제외한

기타 자료들의 저장에는 HDD가 널리 쓰이고 있다.

하지만 HDD는 내구성에 매우 취약한데 HDD의 구조상 어쩔 수 없는 부분이다.

간단히 설명하자면 HDD는 플래터라는 원형 판에 데이터를 쓰고 

그 플래터가 스핀하면서 원하는 데이터가 있는 플래터 부분을 헤드가 Access 하는 방식이다.

하지만 플래터와 헤드의 간격은 머리카락의 1/2000 간격이며,

이런 이유가 HDD의 약한 내구성의 원인이 된다.

다양한 이유로 플래터에 손상이 가게되면, 배드섹터가 생긴다.

배드섹터란, 하드 디스크가 물리적 또는 논리적으로 어떤 섹터가 손상을 입어

제대로 판독할 수 없는 현상 또는 해당 섹터를 말한다.

배드섹터가 발생하게 되면 파일 복사 불가, HDD 안에 있는 파일 실행 불가, HDD 인식불가 등

다양한 문제가 발생하는데, 배드섹터를 검사할 수 있는 프로그램을 소개하고자 한다.

사용방법)

1. 위 파일을 실행하면, 이러한 화면이 나오는데 '다음'을 클릭해 넘어간다.

2. 검사항목을 선택할수있는 창이 나온다. 전체/부분 디스크 배드섹터 검사를 선택하고 '다음'을 클릭

3. 배드섹터를 검사할 HDD를 선택하고 '다음'을 클릭

4. 배드섹터 검사영역을 설정할 수 있다. 보통 '전체영역 검사하기'를 선택하고 '다음' 클릭

5. 배드섹터 검사 창이 나오고, '검사' 를 클릭하면 검사가 진행된다.

6. 검사가 진행되고 진행율과 남은시간으로 진행상황을 확인할 수 있다.

6번에서 만약 남은시간이 1000시간, 10000시간과 같이 뜨거나

검사블럭의 색상이 빨간색으로 나온다면 배드섹터가 있는 HDD며

Low Level Format으로 논리적 배드섹터의 문제는 해결할 수도 있지만

물리적 배드섹터의 경우에는 자가 수리가 불가능에 가깝다.

중요한 자료의 경우에는 백업을 생활화하고, 중요한 HDD에 배드섹터가 발생했을 때에는

자가수리보다는 하루빨리 복구업체를 방문하는것이 좋다.