본문 바로가기

디지털 포렌식20

$MFT 개념 및 실습 [MFT(Master File Table)] MFT는 NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조이다. 하나의 파일당 하나의 MFT 엔트리를 가지며, $MFT는 MFT 엔트리들의 집합을 말한다. 이때, $는 Windows 환경에서의 시스템 파일을 의미한다. MFT 엔트리는 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있으며 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다. [MFT Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 [root]\$MFT를 추출한다. 추출한 $MFT을 보기 위해 MFTExplorer를 다운로드한다. https://ericzimmerman.git.. 2022. 7. 27.
Windows Registry 실습 [Registry 파일 추출] 각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다. 실습을 위해 registry 폴더를 만들어 그 안에 각각 raw, clean, result 폴더를 만들어준다. FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한다. root\Users\사용자 계정으로 접속한다. 사용자 계정에 들어가면 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 확인할 수 있다. 3개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다. root\windows\S.. 2022. 7. 23.
Registry 개념 및 실습 [Windows Artifacts] Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소, Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있다. 프로세스, 시스템에서 자동으로 생성한 데이터인 생성 증거와 사람이 기록하여 작성한 데이터인 보관 증거가 있는데 Windows Artifacts는 생성 증거에 해당한다고 볼 수 있다. 즉, 사용자의 행위에 따라 자동으로 만들어진 데이터를 추적하여 사용자의 행위를 분석하는 것이 Windows Artifacts의 목적이다. Windows Artifacts의 종류로는 Registry, $MFT, $Logfile, $UsnJrnl, LNK, JumpList, Recycle Bin, Prefetch & Cach.. 2022. 7. 17.
OlympicDestroyer - Volatility Contest 2018 풀이 [운영체제 식별] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1x86를 사용한다. [프로세스 검색] 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. pstree.log를 살펴보면 OlympicDestroy와 OlympicDestroy가 실행되면서 만들어진 _xut.exe, teikv.exe, ocxip.exe가 의심스럽다. pslist.log를 살펴보면 OlympicDestroy와 _xut.exe, teikv.exe, ocxip.exe가 1초의 시간 간격을 두고 실행된 것을 확인할 수 있다. [네트워크 분석] ne.. 2022. 7. 14.
CTF-d, GrrCon 2015 풀이 [CTF-d, GrrCon 2015] http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 문제는 위 링크에서 확인이 가능하다. [운영체제 식별] 메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1X86를 사용한다. [프로세스 검색] 차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다. pstree.log를 살펴보면 TeamViewer.exe와 TeamViewer.exe의 자식 프로세스, explorer.exe와 explorer.exe의 자식 프로세스, iexplor.. 2022. 7. 12.
Volatility Cridex 풀이 [Volatility] Volatility는 오픈소스 기반으로 CLI 인터페이스로 제공되는 메모리 포렌식 도구이다. Volatility를 통해 메모리 관련 데이터를 수집할 수 있다. 버전 3까지 공개되어 있으나, 아직까지는 버전 2를 많이 사용한다. https://www.volatilityfoundation.org/26 Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org 위 링크에서 Volatility를 다운받을 수 있다. Volatility를 다운받은 후에 어떤 경로에서든 접근할 수 있도록 환경 변수 설정을 해준다. [Volatility 명령어 정리] 1. 운영체.. 2022. 7. 12.

티스토리툴바