Digital Forensics
-
-
-
-
-
-
-
OlympicDestroyer - Volatility Contest 2018 풀이 (1), (2), (3)Digital Forensics/inflearn 2024. 1. 21. 16:31
개념 정리 명령어 정리 imageinfo - 메모리덤프가 어떤 이미지의 것인지 추측해줌 pslist psscan pstree psxview cmd관련 cmdline cmdscan consoles 네트워크 관련 netscan filescan 파일 등장할 경우 dumpfiles - 파일 덤프 procdump - 프로세스 덤프 memdump - 메모리 덤프 Virustotal - 실행파일이 나온 건 이거 사용 strings - memdump나 procdump에 대해 strings 이용 레지스트리 관련한 printKey, reg..~ 등등은 기초 범위 벗어나서 생략 실습 과정 단서 첨부파일 V10 "Olympic_Session_V10" 메일을 통해 감염 바탕화면에 만든 olympic 폴더에 문제 파일 다운로드하..
-
ThumbnailCache & IconCache, Windows Timeline, Event Logs, VSS, Windows Search, Recycle Bin 개념 및 실습Digital Forensics/inflearn 2024. 1. 10. 07:00
개념 정리 ThumbnailCache & IconCache ThumbnailCache 썸네일(Thumbnail) : '미리보기 파일'을 의미함 Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음 -%UserProfile%\AppData\Local\Microsoft\Windows\Explorer thumbcache_{크기}.db (이때 이 .db는 db browser for sqlite의 db랑 아예 다른 구조) IconCache Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시 -공통의 아이콘을 사용(일반적인 폴더, 파일) -별도의 아이콘을 사용(응용프로그램) Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함 -%UserProfile%\AppData\Local..