디지털 포렌식(Digital Forensics)51 [Memory] GrrCON 2015 #5 윈도우의 Run 레지스트리에 키에 있는 값(레지스트리는 키와 값이라는 두가지 요소를 포함하고 있음)들은 항상 값이 유지가 되는 값이다. 즉, 문제에서 말하는 '재부팅 후에도 지속성을 유지' 하는 레지스트리 키는 Run 레지스트리에 저장이 되어 있는 것이다. 볼라틸리티를 이용해 레지스트리 값을 확인해보도록 하자! printkey 명령어는 레지스트리 키의 서브키와 값을 출력해주는 명령어다. -K 옵션은 경로를 입력하면 해당 레지스트리에 관련한 정보를 가져오는 옵션이고, -o 옵션은 가상주소를 입력하면 특정 하이브에 대해서만 탐색해주는 옵션이다. ex) vol.py -f "D:\CTF-d 문제\Target1-1dd8701f.vmss" --profile=Win7SP1x86 printkey -K "Microsof.. 2020. 8. 24. 7장 디지털 증거 분석 기술 파일 시스템 : 파일을 저장하고 관리하는 방식 Ex ) 윈도우 운영체제 – FAT, NTFS 파일 시스템 미할당 영역을 추출하고 데이터가 존재하면 파일 포맷을 확인한 뒤, 새로운 파일로 생성하는 방식으로 동작한다. 완전 삭제(wiping) 기술: 단순히 삭제 표시를 하는게 아닌 해당 데이터를 모두 삭제하는 기술 -> 증거 인멸 시도를 파악할 수 있음 키워드 검색 : 사건과 관련된 키워드를 선정해 검색하는 것 -> 텍스트 인코딩, 대소문자등의 사항을 고려해야 함 해쉬 검색 : 파일명 또는 파일의 해쉬 값을 이용하여 저장 매체 내에서 특정 파일을 검색하는 것 참조 데이터 세트 : 잘 알려진 파일들의 해쉬 값을 모아 놓은 것 미리 알려진 파일을 분석 대상에서 제외하거나 신속히 검색하기 위해 활용 됨. 다양한 .. 2020. 8. 13. 네이버웨일 일반모드/시크릿모드 WinHex 분석 환경: Windows10 x64 사용 툴 : WinHex 1. 분석환경 분석하기 전, 친구한테서 받은 메일에서 사진을 다운로드 받아줬다. forensic.jpg를 catcatcat.jpg로 다른이름으로 저장을 해줬다. 그 후, 검색창에 eduwill을 검색해주었다. eduwill 검색결과로 나온 사이트에 방문해서, 방문 웹사이트 기록을 남겨주었다. 시크릿모드에서도 동일하게 Heimish.jpg를 다운로드 받아주었는데, 이때는 이름은 동일하게(Heimish.jpg) 사진을 다운로드 해줬다. 그 후, cocacola korea를 검색해봤다. 검색결과로 나온 웹사이트에 방문해, 방문 웹사이트 흔적을 만들어주었다. 2. WinHex 사용 방법 WinHex를 관리자 권한으로 실행 시킨 뒤, 상단 바에서 Tools.. 2020. 8. 3. [Network] DefCoN#21 #6 오늘의 문제는 악성 페이로드의 용량을 찾는 문제이다. 제일 먼저 round6.pcap 을 와이어샤크에서 열어봤지만 별다른 수확물이 없었다. 그러니 Networkminer.exe를 사용해보자! ※ 페이로드 (payload) : 사용에 있어서 전송되는 데이터로, 보안 분야에서는 멀웨어의 일부를 뜻한다. 우리는 전송된 데이터 중 멀웨어를 찾아야 한다. NetworkMiner에서 이 파일을 연 뒤, Files에 들어가면 6개의 파일이 전송되었다는 것을 알 수 있다. Extension을 보면 4개는 cer 이라고 표시되어 있는데, cer은 SSL 인증서의 파일 포맷 종류이다. 맨 아래의 favicon.ico에서 ico는 아이콘 파일임을 의미한다. 총 6개의 파일 중 5개의 파일들이 인증서와 관련된 파일들로, 우클.. 2020. 8. 1. 네이버웨일 일반모드/시크릿모드 아티팩트 분석 환경 : Windows10x64 분석도구 : HxD 네이버웨일 브라우저에서 아래 과정을 작업한 뒤, 아티팩트를 조사해봤다. 1. 네이버 검색창에 pepsi 검색 2. s-space.snu.ac.kr/handle/10371/142264 에서 논문 다운로드 3. 네이버 로그인 4. 네이버 이메일 전송 (메일 제목, 메일 내용, '2'에서 다운로드 한 논문 첨부) 5. 친구한테 부탁해서 내 메일 주소로 메일 하나 보내달라함 (메일 제목, 메일 내용, 'forensic.jpg' 파일 첨부) 분석한 아티팩트 경로: C:\Users\김성연\AppData\Local\Naver\Naver Whale\User Data\Default Current Session 파일에서 작업한 내용을 찾아보았다. 'pepsi' 검색 결과.. 2020. 7. 31. 네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-2차 환경: VMware 15.5 pro / Windows7x64 1. 공통(일반/시크릿모드) 분석환경 각각 이미지 검색 후 다운로드를 받고, 메일을 보내주었다. 프로세스 종료(브라우저 창 닫기) 후 약 30분 가량 기다려 준 뒤, suspend 모드로 전환하였다. 그 후 이전 게시글의 환경과 같게, pslist, memdump, strings.exe 를 통해 덤프파일을 분석해보았다. 2. 일반모드 분석환경 및 분석 'whiteapple' 검색 후 나오는 사진을 'applephone.jpg'으로 다운로드 받았다. 'blackpink' 검색 후 'blackpink.jpg' 로 다운로드 받았다. 수신자 'liz0904@nate.com', 메일제목 및 메일 내용, 'blackpink.jpg' 파일 첨부를 한 뒤 메.. 2020. 7. 28. 이전 1 2 3 4 5 6 7 ··· 9 다음
