디지털 포렌식(Digital Forensics)51 3장 . 디지털 기기와 저장매체 디지털 기기의 구성 1. 중앙처리 장치 : CPU라고도 흔히 불리며, 연산장치, 제어장치, 레지스터로 구성 2. 주기억 장치 : ROM과 RAM이 있음 3. 보조기억장치 : 주기억장치를 보조하는 역할 4. 입출력장치 : 사용자가 입력한 내용을 출력해주는 장치 ex) 프린터, 키보드 ROM (Read-Only Memory) 읽기만 가능한 지억장치 비활성 메모리 ( 시스템이 종료되어도 데이터 유지) 주로 BIOS를 저장하기 위해 사용 ROM 종류 내용 Mask ROM 제조 회사에서 미리 데이터를 기록한 것으로 데이터 변경 불가 PROM 제조된 후 사용자가 한번만 데이터를 기록할 수 있음 EPROM 자외선을 이용해 기록된 내용을 지우고 다시 기록할 수 있음 EEPROM 전기적인 방법으로 기록된 내용을 지우고 .. 2020. 7. 23. [Memory] GrrCON 2015 #2 오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다. GrrCON 2015 #1 문제의 연장선이다. https://liz09045.tistory.com/28 [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다. 문제에서 vmss 파일을 주었다. VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우, 소프트웨어가 자동적으로 일시적으로 중지된 liz09045.tistory.com GrrCON2015 #1 및 imageinfo, pslist, memdump, string,exe 관련 내용은 위 링크에서 확인하세요! 저번 글에서 한 것과 같이 imageinfo로 프로파일명을 확인한 뒤 명령을 실행한다. 문제에서 제시된 KEY Fo.. 2020. 7. 20. [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다. 문제에서 vmss 파일을 주었다. VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우, 소프트웨어가 자동적으로 일시적으로 중지된 상태를 저장하는 파일이다. VMSS파일은 VM이 중단 된 지점에서 VM을 다시 시작하는데 사용된다. https://blog.naver.com/i1004yu/221973880923 [Volatility] 윈도우에서 Volatility 2.6 설치 1. 파이썬 2.7x버전을 설치한다. (이 과정은 생략하겠다.)2. pycrypto-2.6을 설치한다.http://www.voidsp... blog.naver.com 이 파일을 분석하기 전에 볼라틸리티를 다운받아 준다. 볼라틸리티(Volatility)는 오픈 소스.. 2020. 7. 20. [Network] DefCoN#21 #5 오늘의 문제다. 이미 다 푼 상태에서 하는 말이지만 이번 문제 너무 현타와요... 문제에서 제시된 압축파일을 풀면 위와 같이 Dump 폴더와 log.txt 파일이 주어진다. Dump 폴더를 하나하나 분석해보았고, Cache 파일들은 우선 다 뛰어넘겼다. round5\Dump\mnt\sdcard 의 경로로 들어가면 pcap 파일이 있어 와이어샤크로 열어보았지만 그다지 좋은 결과물을 얻지는 못했다. \round5\Dump\HWUserData 의 pcap 파일들도 마찬가지다. 위 폴더에 들어가게 되면 다양한 사진들이 나오는데 여기서 나온 글자들을 다 입력해보았지만 실패했다. round5\Dump\mnt\sdcard\DCIM\Camera 경로로 들어가면 카메라로 찍은 걸로 유추되는 사진이 나온다. 쓰러져 있는 .. 2020. 7. 20. 과제를 가져가라 과제에 암호를 걸어두었다. 암호에 대한 힌트는 주어진 jpg파일에서 얻을 수 있다!! 2020. 7. 17. 네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록 환경 : VMware15.5 pro / Windows 7 Home Premium x64 각각 일반모드와 시크릿모드에서 검색을 한 뒤, 프로세스를 종료하지 않고(==브라우저 창을 닫지 않고), suspend 모드로 전환 네이버 웨일 일반 모드에서 'today is thursday'를 검색해주었다. 네이버 웨일 시크릿 모드(incognito mode)에서는 'this is incognito mode'를 검색해주었다. 그 후 VMware를 Suspend 모드로 전환시킨 뒤 남는 .vmem 파일을 가지고 실습을 진행했다. (네이버웨일 브라우저 창은 끄지 않음) imageinfo 명령어를 통해 프로파일명이 Win7SP1x64 임을 알 수 있다. 형식 : vol.py -f [덤프 파일] imageinfo pslis.. 2020. 7. 16. 이전 1 ··· 3 4 5 6 7 8 9 다음
