본문 바로가기

디지털 포렌식(Digital Forensics)51

네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-1차 환경 : VMware 15.5 pro / Windows7x64 ※ 이번 분석은 제대로 되지 않아서 더 정확한 분석은 다음 게시글을 보도록 하세요! 이 게시글은 그냥 제가 비교하기 위해서 적어논 글입니다...ㅎ 1. 환경 구축 일반모드와 시크릿모드로 메일을 전송한 뒤, 프로세스 종료 (브라우저 창 닫기)를 하지 않고 suspend 모드로 전환하였다. 모든 환경이 설정된 뒤, pslist, memdump, strings.exe 를 실행한 것이다. pslist 명령어를 통해 실행중인 프로세스를 확인해본 뒤, whale.exe의 PID를 파악해둔다. memdump 명령어와 whale.exe의 PID를 이용해 네이버웨일의 덤프파일을 떠준다. strings.exe를 실행해 네이버웨일 덤프파일을 txt 파일로 변환해.. 2020. 7. 28.
[Memory] GrrCON 2015 #3 오늘의 문제는 사용된 악성코드의 이름을 찾아야한다. https://liz09045.tistory.com/27?category=787258 [Memory] GrrCON 2015 #2 오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다. GrrCON 2015 #1 문제의 연장선이다. https://liz09045.tistory.com/28 [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메.. liz09045.tistory.com 이전에 풀었던 GrrCON 2015 #2에서 공격자가 이메일을 통해 보낸 파일인 AnyConnectInstaller.exe 파일을 중점적으로 찾아보기로 한다. 모르는 분들은 위의 링크에서 이전 문제에 대한 내용을 확인하시면 됩니다! .. 2020. 7. 27.
4장. 디지털 증거(digital evidence) 디지털증거(digital evidence) 0과 1이라는 디지털 형태로 저장되거나 전송되는 증거가치 디지털 증거는 디지털증거가 저장되어 있는 저장 매체의 종료에 따라, 증거의 내용에 따라, 법적 효력에 따라, 디지털 정보의 휘발성 정도에 따라 구분하는 방법 등이 있다. 디지털 데이터의 구성 사람이 입력한 데이터 + 이를 관리하기 위한 메타데이터 ※메타데이터란? 디지털 데이터를 식별하거나 분류하는데 도움이 되는 모든 부가적인 정보 즉, 데이터에 대한 데이터 (ex. 파일명, 해쉬값, 타임 스탬프 등) 보관증거와 생성증거 디지털증거는 보관증거와 생성증거로 나눌 수 있다. 보관증거 : 사람의 사상이나 감정을 표현하기 위하여 사람이 직접 작성한 증거 ex) 사람이 입력한 증거 일반적으로 작성자가 동의하지 않는 .. 2020. 7. 25.
네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 환경 : VMware15.5 pro / Windows7x64 ※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다! 1. 환경구축 위의 빨간 네모와 같이 검색을 한 뒤, 네이버가 제공하는 동영상 검색 결과에서 위 제목의 영상의 링크를 타고 들어갔다. 그 후 영상을 시청하였다. 영상 시청 뒤, 댓글을 달기 위해 구글 계정으로 로그인 해주었다. 그 후 로그인한 계정으로 'that is so exciting' 이라는 댓글을 달았다. 위 작업이 완료된 후, suspend 모드로 전환해주었다. https://liz09045.tistory.com/24?category=787259 네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록 환경 : VMware15.. 2020. 7. 24.
네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 환경 : VMware15.5 pro / Windows7x64 ※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다! 1. 환경구축 (검색, 유튜브 접속, 영상시청, 로그인) 네이버웨일 일반모드에서 youtube를 검색한 뒤, youtube 링크로 들어갔다. 'A look back at Life in a Day 2010' 라는 제목의 영상을 시청하였고, 웹 사이트 주소는 https://www.youtube.com/watch?v=w8S4gGI4nRo 이었다. 영상을 시청한 뒤, 댓글을 달기 위해 구글 아이디로 로그인을 해주었다. 로그인 후, 아까 'A look back at Linfe in a Day 2010' 영상에 'that is so sad..' 라는 댓글을 .. 2020. 7. 24.
네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 환경 : VMware15.5 pro / Windows7x64 각각 일반모드와 시크릿모드에서 검색 실행 후, 브라우저 창을 닫고 suspend 모드로 전환 . 환경구축 (일반모드와 시크릿모드에서 각각 다른 문장 검색) 일반모드에서 today is friday를 검색한 뒤, 브라우저 창을 종료했다. 시크릿모드에서 this is searching in incognito mode. 를 검색한 뒤, 브라우저 창을 종료했다. . 웹 브라우저 창을 종료했을 때 약 10분정도 경과된 뒤, VMware를 Suspend 모드로 돌려 .vmem 파일을 생성했다. 늘 하던 방식대로, imageinfo 명령어를 통해 프로세스명을 확인했다. (Win7SP1x64) pslist를 통해 프로세스 목록을 확인해보았다. 프로세스를 종료.. 2020. 7. 24.

티스토리툴바