전체 글 (20) 썸네일형 리스트형 [Windows forensic] 윈도우 아티팩트 분석 윈도우 아티팩트는 윈도우 사용자가 수행한 작업에 대한 정보를 포함하는 개체라고 한다. 또한 아티팩트들은 각기 다른 성격과 유형을 가지고 있으며 운영체제마다 위치도 다르다. 마찬가지로 윈도우 아티팩트에는 사용자의 흔적에 따른 이벤트 및 중요한 정보가 포함되어 있기 때문에 포렌식 분석을 수행할 때 조사관은 특정 아티팩트를 통해 정확한 증거를 찾을 수 있어야 한다. 따라서 다음과 같이 윈도우 아티팩트에 대해 이해하고 발견할 수 있는 위치를 기억하고 분석할 수 있도록 하자. ※ 이 글은 필자 본인이 보기 쉽게 요약 정리 한 글이며, https://www.sans.org/posters/windows-forensic-analysis/ 의 자료를 다운로드하여 참고 후 작성한 글입니다. 또한 아티팩트의 버전은 윈도우 .. [Memory Forensic] Wargame Team H4C 얼마전 Team H4C의 해킹노트 온라인 컨퍼런스 유튜브를 보다가 해킹문제를 만들었다는 소식을 접했다. 일단 포렌식 문제는 무조건 도전하는 나라서 들어가봤다. 몇몇 스테가노 문제들이 보였고 마지막 문제는 용량도 크고 확장자도 달라서 흥미로워보였다. 이것은 어디서 본 듯한... 문구다. 일단 2문제 풀고 얼른 이 문제에 도전해봤다. 파일을 다운로드해주면 2기가에 도달하는 .mp4 확장자의 파일을 하나 볼 수 있을 것이다. 하지만 동영상으로 열리지 않고 HxD로 열어도 동영상 시그니처를 찾아볼 수가 없다. 역시 램을 본다는 것은 R.G.B 값을 구해야하는 것이었따 가 아니라 메모리 포렌식이었다ㅋㅋ 리눅스를 이용하여 Volatility로 자세히 분석해보자. 명령어가 익숙치 않다면 아래 블로그 링크를 참고하자... NTFS 개념 및 분석 보호되어 있는 글입니다. FAT 개념 및 분석 보호되어 있는 글입니다. root-me IRC 환경 및 파일 다운로드 문제 포렌식 워게임, CTF 문제들을 풀다가 root-me.org 에도 좋은 문제가 있다는 것을 발견하였다. 포렌식을 잘하시는 블로거분이 추천해주시기도 해서 도전해보기로 한다. 포렌식 뿐만아니라 다른 분야의 문제도 많으니 관심이 있다면 아래 링크를 클릭하여 도전해보길 바란다. http://root-me.org Bienvenue [Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité Plusieurs centaines de challenges sont à votre disposition pour vous entrainer dans des environnements variés, non simulés et maitriser un grand.. 개인정보 가명처리 2021 PIDICON을 준비하면서 개인정보 가명처리에 대해 공부하였다. 다음과 같이 내용을 정리해본다. 개인정보 - 살아있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보 가) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 가명정보 - 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보 익명정보 - 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 어떠한 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보 식별자 - 전체 또는 특정 인구 집단 내에서 개인을 고유하게 구별하기 위해 부여한 기.. 메모리 포렌식 메모리 포렌식 개요 메모리에는 프로세스가 사용한 데이터, 네트워크 정보 등 하드 디스크에서 찾을 수 없는 흔적이나 휘발성 데이터를 분석하여 악의적인 행동을 조사하고 식별한다. 1. 메모리 포렌식 - 메모리 포렌식은 메모리(RAM)의 존재하는 휘발성 데이터를 덤프하여 분석하는 것을 의미한다. * 휘발성 데이터란? - 전원 공급이 끊기거나 시간 흐름에 따라 저장공간에서 사라지는 데이터를 의미 2. 메모리 덤프 - 메모리 덤프는 특정 순간에서 컴퓨터 메모리 데이터의 스냅 샷 캡쳐 파일이다. 메모리 분석 시 무결성을 위해서 가장 순수한(변조되지 않은) 메모리 덤프 파일을 얻어야 한다. 덤프 파일을 얻기 위해 다음과 같은 방법들이 있다. 하드웨어 - PCI 장치 - FireWire 장치 소프트웨어 - DD - K.. CFReDS - Data Leakage Case 문제풀이 #02 이어서 문제를 풀어보도록 하자. 16. List all search keywords using web browsers (Timestamp, URL, keyword...) - 웹 브라우저를 사용하여 모든 검색 키워드를 나열하라. (타임스탬프, URL, 키워드...) > WEFA 프로그램으로 분석을 진행하면 된다. 하지만 현재 어떤 이유에서인지 수집 후 분석을 진행하면 프로그램이 종료가 된다. (이유를 아시거나 다른 방법을 아시는 분은 알려주시면 감사하겠습니다!) 17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword) - 윈도우 탐색기의 검색 표시줄에 모든 사용자 키워드를 나열하라. (타임스탬프, 키워드) >.. 이전 1 2 3 다음
