본문 바로가기

디지털 포렌식(Digital Forensics)51

웹 브라우저 포렌식과 아티팩트 1. 웹 브라우저 포렌식 웹 브라우저 포렌식은 용의자의 컴퓨터에 저장되는 웹 브라우저 사용 흔적을 디지털 포렌식적인 방법을 이용하여 조사하는 것을 의미한다. 즉, 웹 브라우저가 남기는 로그파일을 분석하는 것이다. *로그: 컴퓨터의 처리 내용이나 이용상황을 시간의 흐름에 따라 기록한 것, 또 PC통신에서 메일 등 통신 내용의 기록을 말하기도 함. (이 파일을 로그파일이라고 함.) 디지털 증거는 생성증거와 보관증거 두가지로 나뉜다. 구분 정의 예시 생성증거 시스템이나 애플리케이션이 자동으로 생성한 데이터 윈도우 시스템에서 레지스트리, 프리/슈퍼패치, 이벤트로그 등 보관증거 사람의 사상이나 감정을 표현하기 위해 작성한 데이터 직접 작성한 메일 내용, 블로그 작성 내용, 직접 작성한 문서 등 . 2. 아티팩트의.. 2020. 6. 13.
1. 볼라틸리티(Volatility) 기본 명령어 실습 - 프로파일(Profiles) 환경 : Win7x64 Home (VMware) (처음엔 Win10x64를 시도해 봤지만 pslist같은 명령어들이 되지 않았다 ㅠ) 1. imageinfo imageinfo는 덤프파일의 이미지 정보를 분석할 수 있는 명령어이다. pslist와 같은 다른 중요 명령어를 사용할 때 프로파일명이 필요하기 때문에, 프로파일명을 잘 알아두어야 한다. C:\Python27\Lib\site-packages\volatility-2.6\volatility-master>vol.py -f "C:\Users\[사용자명]\Documents\Virtual Machines\Windows 7 x64\Windows 7 x64-74924c7c.vmem" imageinfo Volatility Foundation Volatility Fr.. 2020. 6. 13.
0-2. Windows7 ISO 이미지 파일 설치 ↑ 클릭 시, 바로 iso 파일 다운로드 첨부된 파일을 다운로드 받고 실행하면 위와 같은 화면이 뜬다. 이때, Windows7 (August 2018)을 선택하고 각자에게 필요한 버전을 선택한다. 나는 Windows7 Home Premium 64-bit을 다운받았고, 언어는 영어밖에 없었다. 다운로드를 받고 나면 위와 같은 ISO 파일이 생긴다. 이 파일을 이용해 VMware에서 Windows 7 환경을 구축하면 된다. 아래 링크를 참고해 환경구축을 하면 될 듯! https://nan491.tistory.com/entry/VMware-%EA%B0%80%EC%83%81%EB%A8%B8%EC%8B%A0%EC%97%90-Windows-7-64Bit-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%.. 2020. 6. 13.
0-1. Python2.7버전 pip 설치 오류 및 UnicodeDecodeError 에러 PIP(Package Manager) 파이썬은 다양한 패키지를 제공하며, 패치지를 쉽게 설치하고 사용할 수 있다. pip는 파이썬의 패키지를 설치하거나 관리할 수 있는 패키지 관리 시스템이다. 파이썬 최신버전(2.7.9 이후버전 또는 3.4 이후 버전)에서는 pip를 기본적으로 포함해서 설치할 수 있다. cmd 창에서 pip를 실행하려고 할 때, 오류가 나서 몇시간동안 고생을 했다. 두가지의 오류가 났는데 하나는 'pip은(는) 내부 또는 외부 명령, 실행할 수 있는 프로그램, 또는 배치 파일이 아닙니다'와 'UnicodeDecodeError : 'ascii' codec cant decode byte 0xb1 in position 7:ordinal not in range(128)' 이었다. 두가지 오류를.. 2020. 6. 13.
0. Windows10에 볼라틸리티 설치 https://ghdwn0217.tistory.com/62 윈도우에 볼라틸리티(Volatility) 설치하기 1. python2.7버전 설치하기 설치하는 과정에서, 파이썬 환경 변수를 설정해주기 위해서 Add python.exe to Path를 다음과 같이 바꾸어 준다. 2. pycrypto 설치하기 >> http://www.voidspace.org.uk/python/modul.. ghdwn0217.tistory.com 2020. 6. 13.
[Disk] 이벤트 예약 웹사이트를 운영하고… #A 이번에는 disk 포렌식 문제를 풀어보도록 하자! 처음 해보는 분야라 설레는 마음으로 시작합시다. 문제에서 주는 파일의 압축을 풀어보면, 2012_Secuwave_F100\Incident_Response\2012-08-27 아래에 사진과 같은 많은 폴더들이 있다. 이 폴더 안에 각각 어떤 파일들이 있는지 알아보자. 폴더 파일 accounts group(사용자 그룹 목록), history(사용한 명령어 목록), last_R,(접속한 계정) lastlog(접근했던 파일들), passwd(사용자 계정 정보), shadow(사용자 비밀번호 정보), w(사용자 ip 정보) file fls_r_m, mactime_b network arp, lsof(폴더와 관련된 파일 및 프로세스 목록), netstat_an osi.. 2020. 6. 7.

티스토리툴바