포렌식22 [Memory] GrrCON 2015 #9~16 https://shsh010914.tistory.com/80 [Memory] GrrCON 2015 #1~8 [파일 추출] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1X86를 사용한다. 문제 풀이를 진행하기 shsh010914.tistory.com 이어서 문제 풀이를 진행한다. [GrrCON 2015 #9] 관리자 계정의 NTLM 암호 해시를 찾는 문제이다. hashdump 플러그인을 통해 사용자의 암호 해시를 확인할 수 있다. 관리자 계정의 암호 해시는 aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82이다. .. 2022. 8. 14. [Memory] GrrCON 2015 #1~8 [파일 추출] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1X86를 사용한다. 문제 풀이를 진행하기 앞서 프로세스 검색, 네트워크 분석, CMD 분석, 파일 분석에 대한 파일을 log 파일로 저장한다. 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. netscan 명령어를 실행하여 출력 값을 파일로 저장한다. 차례대로 cmdline, cmdscan, consoles 명령어를 실행하여 출력 값을 파일로 저장한다. filescan 명령어를 실행하여 출력 값을 파일로 저장한다. [GrrCON 2015 #1] 프런트 데스.. 2022. 8. 14. Recycle Bin 개념 및 실습 [Recycle Bin] 휴지통(Recycle Bin)은 파일을 삭제하고, 복원하거나 영구 삭제할 수 있다. 파일 탐색기 보기 설정에서 숨긴 항목을 표시하면 로컬 디스크 (C:)에서 $Recycle Bin 폴더를 확인할 수 있다. 휴지통 폴더는 볼륨 단위로 생성된다. 따라서 로컬 디스크로 인식되는 경우에만 생성되고, USB 등 이동식 디스크 및 네트워크 드라이브 등은 생성되지 않는다. 휴지통 아이콘은 모든 볼륨의 휴지통 폴더를 통합하여 보여준다. 그러나 하나의 폴더로 존재하는 것은 아니다. [Practice] 실습을 위해 test.txt를 만든 다음 파일을 삭제한다. 1. 휴지통 아티팩트(파일 삭제 시) 휴지통 폴더의 경로는 \$Recycle.Bin\\이다. 해당 경로로 이동한 다음 다시 S-1-5-21.. 2022. 7. 30. Windows Search 개념 및 실습 [Windows Search] Windows 검색 기능으로 작업 표시줄 아이콘을 클릭하거나 Windows + S 단축키를 눌러 실행할 수 있다. Windows Indexing은 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행하는 것을 말한다. 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱 되며, 텍스트가 포함된 파일의 경우에는 콘텐츠가 인덱싱 된다. 설정\개인 정보 및 보안\Windows 검색에서 확인할 수 있다. Windows.edb에는 Windows Search에 사용하기 위한 Indexing 정보가 저장되어 있다. %ProgramData%\Microsoft\Search\Data\Applications\Windows 경로에서 Windows.edb를 확인할 수 있다. W.. 2022. 7. 29. VSS(Volume Shadow Copy Service) 개념 및 실습 [VSS] VSS는 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능을 말한다. 즉, 시스템 복원 기능을 말하며 컴퓨터 전체를 복원 지점으로 되돌리거나 특정 파일/폴더를 이전 버전으로 되돌릴 수 있다. 시스템 속성\시스템 보호에서 복원 지점을 만들 수 있다. 구성 버튼을 누른 다음 시스템 보호 사용 설정과 디스크 공간 설정을 진행한다. 설정을 적용한 다음 만들기 버튼을 클릭하면 시스템 복원 지점이 만들어진다. [Practice] cmd에서 명령어를 통해서도 VSS 확인이 가능하다. vssadmin list shadows 명령어를 입력하면 복사본이 생성되는 것을 확인할 수 있다. 섀도 복사본 볼륨를 이용하여 파일 탐색기를 사용한 접근이 가능하다. "mklink /d \.. 2022. 7. 29. Event Logs 개념 및 실습 [Event Logs] 로그란 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것을 말한다. 이벤트 로그(Event Logs)는 Windows 운영체제에서 시스템의 로그를 남기는 방식으로 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있다. 이벤트 로그에는 시스템 로그, 응용 프로그램 로그, 보안 로그 등이 존재한다. 이벤트 로그에는 응용 프로그램 로그, 보안 로그, Setup 로그, 시스템 로그, 응용 프로그램 및 서비스 로그 등이 존재한다. 각각에 대한 설명은 아래와 같다. 응용 프로그램 로그: 데이터베이스 오류나 AV 로그와 같이 시스템 구성 요소를 제외한 응용 프로그램에서 발생한 이벤트 기록을 말한다. 기록할 이벤트 유형은 응용 프로그램 개발자가 결정한다. 보안 로그: 파일 만들기, 열기.. 2022. 7. 29. 이전 1 2 3 4 다음
