보안 보안

보호되어 있는 글입니다.

개념 정리 명령어 정리 imageinfo - 메모리덤프가 어떤 이미지의 것인지 추측해줌 pslist psscan pstree psxview cmd관련 cmdline cmdscan consoles 네트워크 관련 netscan filescan 파일 등장할 경우 dumpfiles - 파일 덤프 procdump - 프로세스 덤프 memdump - 메모리 덤프 Virustotal - 실행파일이 나온 건 이거 사용 strings - memdump나 procdump에 대해 strings 이용 레지스트리 관련한 printKey, reg..~ 등등은 기초 범위 벗어나서 생략 실습 과정 단서 첨부파일 V10 "Olympic_Session_V10" 메일을 통해 감염 바탕화면에 만든 olympic 폴더에 문제 파일 다운로드하..

[LEVEL 1 - lolololologfile - forensics] 문제 파일을 다운로드 받고 압축 풀면 Image.E01 파일이 들어있다. 인프런에서 배웠던 거 참고했고 툴은 Autopsy 사용했다. autopsy를 실행시키고 new case 누른 다음 case name은 test1로 했다. 나머진 안 건들고 single-user 확인한 다음, 이후 뜨는 창은 건너뛰고 finish 누른다. add data source 누르고 가장 위에 있는 generate new host ~ ... 선택 후 disk image or vm file을 선택한다. path는 문제 파일 다운로드 했던 경로의 Image.E01로 지정해주고 time zone이 asia/seoul인지 확인한다. 그러면 configure ~ ...

개념 정리 ThumbnailCache & IconCache ThumbnailCache 썸네일(Thumbnail) : '미리보기 파일'을 의미함 Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음 -%UserProfile%\AppData\Local\Microsoft\Windows\Explorer thumbcache_{크기}.db (이때 이 .db는 db browser for sqlite의 db랑 아예 다른 구조) IconCache Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시 -공통의 아이콘을 사용(일반적인 폴더, 파일) -별도의 아이콘을 사용(응용프로그램) Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함 -%UserProfile%\AppData\Local..

[LEVEL 1 - Basic_Forensics_1 - forensics] 문제 파일을 다운로드 받으면 whitebear.png가 있다. https://stylesuxx.github.io/steganography/ Steganography Online Encode message To encode a message into an image, choose the image you want to use, enter your text and hit the Encode button. Save the last image, it will contain your hidden message. Remember, the more text you want to hide, the larger the image has to b ..

개념 정리 MUICache Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 -MUI(Multilingual User Interface) -실행 파일 별로, 유저 언어 이름을 별도로 저장하고 있음 응용프로그램을 실행하면 캐시에 기록이 남음 -실행 파일 경로, 이름 -실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음 AmCache & ShimCache 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시 -운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생 -Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결 AmCache -모든 실행 파일의 이름, 경로, 크기, 해시값 확인 ShimCache(AppCompatCache) -실행 파일의 경로,..

개념정리 점프리스트 점프리스트란? 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 종류 Automatic : 운영체제가 자동으로 남기는 항목 Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations Prefetch 응용프로그램의 빠른 실행을 위해서 존재하는 파일 응용프로그램을 실행할 때에 생성됨 -실행 파일 이름, 경로 알 수 있음 -실행 파일의 실행 횟수 -실행 파일의 마지막 실행 시간(마지막뿐만 아니라 최근 몇개들도 남아있음) ..

개념 정리 $MFT MFT(Master File Table) -NTFS 파일 시스템 -하나의 파일당 하나의 MFT 엔트리를 가짐 -$MFT란 MFT 엔트리들의 집합 MFT 엔트리 -파일의 이름, 생성/수정/변경시간, 크기, 속성 등을 가지고 있음 -파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 $LogFile, $UsnJrnl $LogFile 저널링(Journaling) -데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지" 기록 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원 트랜잭션(Transaction) -"쪼갤 ..