전체 글 (183) 썸네일형 리스트형 [Digital Forensic] Windows Memory Forensic - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 - 추가적으로 Linux OS 계통 Memory Forensic의 정보가 필요하신 분들은 아래 글을 참조하길 바란다(Kernel로 인해 윈도우처럼 쉽게 메모리 덤프를 분석하기가 불가능한 구조)https://isc9511.tistory.com/178* Windows Memory Forensic- 메모리는 우선 휘발성 정보 저장소라고 보면된다. (입출력 장치의 빠른 데이터 교환을 위한 장치)- 즉, 활성 상태에서 메모리 덤프를 확보할 수 있어야 전원이 종료되더라도 분석할 메모리의 정보를 추출해서 확인할 수 있다- 대표적인 활성 정보로, 포렌식 영역에서 확.. [Digital Forensic] Windows Timeline (With DB Browser for SQLite) - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * Windows Timeline- Windows 10(1803)부터 새롭게 제공된 기능으로, CDP(Connected Devices Platform) 서비스의 일부- 사용자의 최근 활동 내역을 최대 30일까지 확인 가능한 기능 (Windows + Tab 버튼 / 작업표시줄의 작업 표시 버튼)(단, Windows 11에서는 제외되었다. Win11 너무 불편...)- 시간에 따른 사용자 행위 추적과, 구체적인 응용 프로그램의 사용 시간의 확인이 가능하다- 물론 이 경우는 본인의 로컬 PC나, 물리적으로 PC를 점유한 상태에서 분석하여 확인이 가능하다는 .. [Digital Forensic] NTFS Log Tracker - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * NTFS LogTracker- Windows의 주요 Hive 파일인 $LogFile, $MFT, $UsnJrnl:$J를 구문 분석, 이와 관련하여 파일의 생성, 수정, 삭제 등의 변경 시각을 추적할 수 있는 도구(즉, 파일 시스템의 메타데이터를 다룸)- 특히나 내부 시스템에 대한 조작이 있었다면 해당 파일은 필수적으로 확인 해야 한다 * 파일 시스템 메타데이터 저장 주요 Hive 파일$LogFile* 경로 : %SystemRoot%\$LogFile- NTFS 파일 시스템에서 파일의 변경 사항(생성, 수정, 삭제)을 기록하는 파일- 핵심은 시스.. [Digital Forensic] Prefetch - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182PrefetchSpuerfetch(Sysmain)- Windows에서 자주 사용되는 프로그램들을 미리 메모리에 로드, 빠른 실행을 지원하기 위해 SW 활동 관련 정보를 저장하기 위해 사용하는 메모리 관리 기법(요약하자면 "메모리 효율화를 위한 별도 파일 저장 후 필요 시, 메모리에 빠르게 로딩" 이라고 할 수 있겠다)- .pf 확장자로 파일을 저장하며 최대 1,024개 까지 생성이 가능하다(오랫동안 사용되지 않는 메모리 영역에 대해서는 페이징 아웃으로 메모리 공간 확보를 지원함)- 활성화/비활성화 선택 제공- 기존 Prefetch가 현재에 와서는 대부분.. [Digital Forensic] Jump List - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * Jump List- Windows에서 최근 사용한 파일 및 폴더에 빠르게 접근하기 위해 만든 구조- .lnk(링크 파일)로 관리되며 사용자의 행위 파악에 도움이되는 아티팩트이다.- 일반적으로 시작 표시줄의 아이콘에서는 기본 활성화 상태(단, 탐색기는 옵션이 별도로 활성화 되어 있어야 Jump list 가 로깅됨) * JumpList 분류- 각 파일의 이름은 응용 프로그램 별 고유한 값(AppID)로 저장되며 아래 점프리스트 AppID 목록을 참조할 수 있다https://github.com/EricZimmerman/JumpList/blob/mas.. [Digital Forensic] 네트워크 정보 확인 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * 네트워크 정보 확인- 네트워크 통신을 한 이력과, 그에 사용된 장비의 세부 정보 등을 확인하는 과정이며 확인할 요소들이 생각보다 많고 경로도 제각각이다 보니 자주 확인해서 연습하고 암기하는 것이 빠르게 확인할 수 있는 방법이다. * 레지스트리 기반 확인- 레지스트리 각각에 네트워크 정보가 퍼져있어서 확인이 필요한데, 이를 위해서 Hive 파일을 추출한 후, REGA Tool을 이용해서 확인하면 훨씬 용이하다- REGA는 윈도우 레지스트리 수집 및 분석 도구로, 고려대 DFRC에서 배포한 인증된 툴이다(아래는 REGA 툴 사용 시, 필요로 하는 .. [Digital Forensic] Print 정보 확인 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182 * Spool- Windows에서 프린터 인쇄 명령 시, 출력물에 대한 데이터가 프린터로 전송- 프린터에 내장된 Buffer는 크기가 작아, 출력물들의 적체 현상을 방지하기 위해 PC에 출력물에 대한 정보를 담은 임시 파일을 생성- 해당 과정이 Spool이며, 이 과정에서 생성된 임시 파일이 Spool 파일이며 아래와 같이 분류됨(스풀 방식과 관련 없이 1개의 인쇄 명령마다 아래 파일 각각 1개씩 생성되는 방식).SHD- 소유자- 문서명- 프린터명- 컴퓨터명- 파일 크기 등의 정보 저장.SPL- Raw 및 EMF 형식의 파일에 해당하는 확장자 (개별 .. [Digital Forensic] Email 정보 확인 - 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다https://isc9511.tistory.com/182* Email- 대부분의 통상적인 메일 내용은 각 기업의 메일 서버에 저장 (네이버, 다음, 구글 etc)- 다만, 웹 메일의 송/수신 화면을 캡처한 이미지나 파일의 내용을 복사, 저장한 텍스트 파일이 일부 존재할 가능성이 있음(즉, 볼 수 있는 정보도 있다는 말)- 단, Outlook 또는 Gmail의 .Mbox(백업 파일)를 제외하고는 메일 발송, 파일 첨부 등의 행위는 알 수 있지만 그 내용을 볼 수 없는 경우가 많음 * Email Client 프로그램- 대표적으로 온라인 웹 메일에 접속하여 사용하는 방식이 아닌, PC 자체에 설치해서 사용하는.. 이전 1 2 3 4 ··· 23 다음
