Digital Forensics/inflearn
-
OlympicDestroyer - Volatility Contest 2018 풀이 (1), (2), (3)Digital Forensics/inflearn 2024. 1. 21. 16:31
개념 정리 명령어 정리 imageinfo - 메모리덤프가 어떤 이미지의 것인지 추측해줌 pslist psscan pstree psxview cmd관련 cmdline cmdscan consoles 네트워크 관련 netscan filescan 파일 등장할 경우 dumpfiles - 파일 덤프 procdump - 프로세스 덤프 memdump - 메모리 덤프 Virustotal - 실행파일이 나온 건 이거 사용 strings - memdump나 procdump에 대해 strings 이용 레지스트리 관련한 printKey, reg..~ 등등은 기초 범위 벗어나서 생략 실습 과정 단서 첨부파일 V10 "Olympic_Session_V10" 메일을 통해 감염 바탕화면에 만든 olympic 폴더에 문제 파일 다운로드하..
-
ThumbnailCache & IconCache, Windows Timeline, Event Logs, VSS, Windows Search, Recycle Bin 개념 및 실습Digital Forensics/inflearn 2024. 1. 10. 07:00
개념 정리 ThumbnailCache & IconCache ThumbnailCache 썸네일(Thumbnail) : '미리보기 파일'을 의미함 Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음 -%UserProfile%\AppData\Local\Microsoft\Windows\Explorer thumbcache_{크기}.db (이때 이 .db는 db browser for sqlite의 db랑 아예 다른 구조) IconCache Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시 -공통의 아이콘을 사용(일반적인 폴더, 파일) -별도의 아이콘을 사용(응용프로그램) Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함 -%UserProfile%\AppData\Local..
-
MUICache, AmCache & ShimCache, 브라우저 아티팩트 개념 및 실습Digital Forensics/inflearn 2023. 11. 21. 00:30
개념 정리 MUICache Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 -MUI(Multilingual User Interface) -실행 파일 별로, 유저 언어 이름을 별도로 저장하고 있음 응용프로그램을 실행하면 캐시에 기록이 남음 -실행 파일 경로, 이름 -실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음 AmCache & ShimCache 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시 -운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생 -Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결 AmCache -모든 실행 파일의 이름, 경로, 크기, 해시값 확인 ShimCache(AppCompatCache) -실행 파일의 경로,..
-
Jumplist, Prefetch 개념 및 실습Digital Forensics/inflearn 2023. 11. 15. 03:35
개념정리 점프리스트 점프리스트란? 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 종류 Automatic : 운영체제가 자동으로 남기는 항목 Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations Prefetch 응용프로그램의 빠른 실행을 위해서 존재하는 파일 응용프로그램을 실행할 때에 생성됨 -실행 파일 이름, 경로 알 수 있음 -실행 파일의 실행 횟수 -실행 파일의 마지막 실행 시간(마지막뿐만 아니라 최근 몇개들도 남아있음) ..
-
$MFT, $LogFile, $UsnJrnl, 바로가기(.LNK) 개념 및 실습Digital Forensics/inflearn 2023. 11. 7. 16:35
개념 정리 $MFT MFT(Master File Table) -NTFS 파일 시스템 -하나의 파일당 하나의 MFT 엔트리를 가짐 -$MFT란 MFT 엔트리들의 집합 MFT 엔트리 -파일의 이름, 생성/수정/변경시간, 크기, 속성 등을 가지고 있음 -파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 $LogFile, $UsnJrnl $LogFile 저널링(Journaling) -데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지" 기록 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원 트랜잭션(Transaction) -"쪼갤 ..
-
Windows 포렌식 개요 & Registry 개요Digital Forensics/inflearn 2023. 10. 11. 11:59
개념 정리 Windows Artifacts 아티팩트 : 컴퓨터가 자동으로 생성해주는 개체들 중에서 특정한 format을 가진 것들 windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거 : 프로세스, 시스템에서 자동으로 생성한 데이터(windows artifacts는 여기에 해당) 보관증거 : 사람이 기록하여 작성한 데이터 Windows의 수많은 Artifacts 중 일부 레지스트리 $MFT, $Logfile, $UsnJrnl LNK JumpList Recycle Bin(휴지통) Prefetch & Cache(s) Timeline VSS 웹브라우저 아티팩트 EventLogs Windows Artifa..
-
침해사고 대응기법 - Volatility Cridex & CTF-d, GrrCon 2015(+도구 설치, 환경 설정, 문제 다운로드)Digital Forensics/inflearn 2023. 10. 4. 11:46
개념 정리 침해사고 대응기법 → 메모리 포렌식 메모리 : 프로그램이 올라갈 수 있는 공간 Volatility : 메모리 관련 데이터를 수집해주는 도구 시스템 환경 변수를 설정하는 이유 어떤 경로에서도 접근할 수 있도록 하기 위함 실습 과정 도구 설치, 환경 설정, 문제 다운로드 본격적인 실습을 시작하기에 앞서 실습에 필요한 도구 설치, 환경 설정, 문제 다운로드를 진행했다. Volatility는 2.6 윈도우 버전으로 다운로드 받고 바탕화면에 압축을 푼다. 밑에서 시스템 환경 변수를 설정할 때 사용해야하므로, 경로를 복사해놓는다. microsoft store에서 windows terminal를 다운로드 받는다. 강의에서 말씀하신 Terminal 명령어 사전 공부는 다음 블로그 링크에서 해오라고 하셨다. ..
-
디지털 포렌식 소개와 기초Digital Forensics/inflearn 2023. 9. 27. 05:15
개념 정리 디지털 포렌식이란? 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야 디지털 포렌식의 필요성 범죄 수사뿐만 아니라 이외 분야에서도 활용도 증가 형사사건이 아닌 민사사건에서의 포렌식(메신저 대화내용) 일반 기업에서의 수요가 급증(내부 정보 유출, 회계 감사 등) 디지털 포렌식의 유형 침해 사고 대응 증거 추출 실시간(급함) 사후조사(비교적 느긋함) 사태 파악 및 수습 범죄 증거 수집(꼼꼼한 분석) 엄격한 입증 필요 X 엄격한 입증 필요 O 디지털 포렌식의 대상 디스크 포렌식: 컴퓨터 디스크(윈도우, 리눅스, MacOs / 개인, 서버, 클라우드)(디스크는 ssd, 하드디스크, C드라이브, D드라이브, usb 등등) 메모리 포렌식: 컴퓨터 메모리(RAM)(..