본문 바로가기

포렌식22

바로가기(.LNK) 개념 및 실습 [바로가기(.LNK)] 바로가기는 Windows Shortcut이라는 명칭으로도 불리며 ".lnk" 확장자를 가지고 있다. 바로가기를 생성하는 방법으로는 사용자가 직접 생성, 프로그램 설치 시에 생성, 운영체제가 자동으로 생성하는 방법들이 존재한다. 바로가기가 생성되는 경로는 아래와 같다. 바탕 화면 %UserProfile%\Desktop 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 빠른 실행 %ProgramData%\Microsoft\Internet.. 2022. 7. 27.
$LogFile, $UsnJrnl 개념 및 실습 [$LogFile] 저널링(Jounaling) 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원한다. 트랜잭션(Transaction) "쪼갤 수 없는 업무 처리의 최소 단위"로 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등의 이벤트 등을 말한다. $LogFile에는 메타 데이터의 트랜잭션 저널 정보가 들어있다. 메타 데이터는 파일이 가지고 있는 속성 데이터이다. [$UsnJrnl] 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일.. 2022. 7. 27.
$MFT 개념 및 실습 [MFT(Master File Table)] MFT는 NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조이다. 하나의 파일당 하나의 MFT 엔트리를 가지며, $MFT는 MFT 엔트리들의 집합을 말한다. 이때, $는 Windows 환경에서의 시스템 파일을 의미한다. MFT 엔트리는 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있으며 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다. [MFT Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 [root]\$MFT를 추출한다. 추출한 $MFT을 보기 위해 MFTExplorer를 다운로드한다. https://ericzimmerman.git.. 2022. 7. 27.
Windows Registry 실습 [Registry 파일 추출] 각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다. 실습을 위해 registry 폴더를 만들어 그 안에 각각 raw, clean, result 폴더를 만들어준다. FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한다. root\Users\사용자 계정으로 접속한다. 사용자 계정에 들어가면 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 확인할 수 있다. 3개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다. root\windows\S.. 2022. 7. 23.
Registry 개념 및 실습 [Windows Artifacts] Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소, Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있다. 프로세스, 시스템에서 자동으로 생성한 데이터인 생성 증거와 사람이 기록하여 작성한 데이터인 보관 증거가 있는데 Windows Artifacts는 생성 증거에 해당한다고 볼 수 있다. 즉, 사용자의 행위에 따라 자동으로 만들어진 데이터를 추적하여 사용자의 행위를 분석하는 것이 Windows Artifacts의 목적이다. Windows Artifacts의 종류로는 Registry, $MFT, $Logfile, $UsnJrnl, LNK, JumpList, Recycle Bin, Prefetch & Cach.. 2022. 7. 17.
OlympicDestroyer - Volatility Contest 2018 풀이 [운영체제 식별] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1x86를 사용한다. [프로세스 검색] 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. pstree.log를 살펴보면 OlympicDestroy와 OlympicDestroy가 실행되면서 만들어진 _xut.exe, teikv.exe, ocxip.exe가 의심스럽다. pslist.log를 살펴보면 OlympicDestroy와 _xut.exe, teikv.exe, ocxip.exe가 1초의 시간 간격을 두고 실행된 것을 확인할 수 있다. [네트워크 분석] ne.. 2022. 7. 14.

티스토리툴바