Forensics/Windows

오늘은 새로 발견된 포렌식 아티팩트를 살펴볼까 한다. 아직 연구중인 분야라고 하니 간단하게 살펴보고 넘어가도록 하자. EventTranscript.db란 Windows 운영체제에서 발생하는 이벤트에 대해 많은 진단 관련 정보를 실시간으로 기록하는 것으로 보이는 SQLite 데이터베이스라고 한다. 이 데이터베이스는 기본적으로 활성화가 되어있지 않기 때문에 '진단 데이터 보기'에서 활성화를 시켜줄 수 있다. 또한 사용자가 스스로 데이터베이스의 크기와 범위를 지정할 수 있다. 위와 같이 설정 후 '진단 데이터 보기'를 활성화하면 EventTranscript.db 파일이 다음 위치에 생성되는 것도 확인해볼 수 있다. 위치 : C:\ProgramData\Microsoft\Diagnosis\EventTranscri..

윈도우 아티팩트는 윈도우 사용자가 수행한 작업에 대한 정보를 포함하는 개체라고 한다. 또한 아티팩트들은 각기 다른 성격과 유형을 가지고 있으며 운영체제마다 위치도 다르다. 마찬가지로 윈도우 아티팩트에는 사용자의 흔적에 따른 이벤트 및 중요한 정보가 포함되어 있기 때문에 포렌식 분석을 수행할 때 조사관은 특정 아티팩트를 통해 정확한 증거를 찾을 수 있어야 한다. 따라서 다음과 같이 윈도우 아티팩트에 대해 이해하고 발견할 수 있는 위치를 기억하고 분석할 수 있도록 하자. ※ 이 글은 필자 본인이 보기 쉽게 요약 정리 한 글이며, https://www.sans.org/posters/windows-forensic-analysis/ 의 자료를 다운로드하여 참고 후 작성한 글입니다. 또한 아티팩트의 버전은 윈도우 ..

이어서 문제를 풀어보도록 하자. 16. List all search keywords using web browsers (Timestamp, URL, keyword...) - 웹 브라우저를 사용하여 모든 검색 키워드를 나열하라. (타임스탬프, URL, 키워드...) > WEFA 프로그램으로 분석을 진행하면 된다. 하지만 현재 어떤 이유에서인지 수집 후 분석을 진행하면 프로그램이 종료가 된다. (이유를 아시거나 다른 방법을 아시는 분은 알려주시면 감사하겠습니다!) 17. List all user keywords at the search bar in Windows Explorer. (Timestamp, Keyword) - 윈도우 탐색기의 검색 표시줄에 모든 사용자 키워드를 나열하라. (타임스탬프, 키워드) >..

시나리오를 다 읽고 이해했으면 문제를 풀어보도록 하자. 분석 대상은 표에 나와있듯이 총 4가지이다. (PC, RM#1, RM#2, RM#3) 어떤 이미지를 다운 받아 분석하는 것은 본인의 자유인 것 같다. 1. What are the hash values (MD5 & SHA-1) of all Images? Does the acquisition and verification hash value match? - 모든 이미지의 해시 값(MD5 & SHA-1)은 무엇인가? 획득 및 검증 해시 값이 일치한가? > FTK Imager 을 실행하여 [File] - [Add Evidence item...] 을 클릭하여 이미지를 불러온다. 검증할 이미지에 우클릭을 눌러 [Verify drive/image] 이미지 해시를..

포렌식을 공부하다보면 포렌식에 대한 여러가지 챌린지, 대회도 있는데 어떤 공부를 하고 대회 준비를 해야할 지 막막하다. 이런 고민을 할때 적합한 문제 풀이로는 아래 링크에서 문제를 다운받아 풀어보는 것을 추천한다. 포렌식에 대한 기초적인 지식들을 실습을 통해 접근할 수 있다. https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html ※ 파일명을 클릭하고 다운을 받으려면 페이지로 넘어가는데 이것은 파일 내용이 웹 브라우저에서 보이는 것이다. 따라서 Window PowerShell 을 이용하여 다운 받도록 하자 ex) Invoke-WebRequest -Uri "다운받을 URL 주소" -Outfile "저장할 파일 위치" PS. 리눅스는 wge..