정보보안/forensic10 [NONamed] 우리 이제 그만하자 처음에 ftk imager로 열었는데 손상이 되었다고 나왔다. 어떻게 해야할 지 몰랐다. 풀이도 안나오고... 그러다가 아래와 같은 게시글을 확인했다. https://weekhack.tistory.com/51 NTFS - 손상된 NTFS VBR(Volume Boot Record) 복구 안녕하세요. Luke입니다. 2022.01. 추가 해당 글은 계획적으로 작성된 글이 아닌 NTFS VBR을 복구하는 문제를 푼 뒤 인상 깊어서 이를 기록에 남기고 싶었기에 작성했던 포스팅입니다. VBR이 무엇인지 weekhack.tistory.com 이 글에서의 이미지 파일은 hxd로 열면 MBR 영역부터 나와있는데 이 문제에서 주어진 파일은 VBR부터 나와있는 것 같다. 어디가 손상되었는지 바로 파악하지 못했다. 그런데 .. 2022. 7. 13. [NONamed] 우리들의 추억들 삭제된 파일.. 복구해 줄 수 있어? 라길래 ftk imager로 열고 $Recycle.Bin을 열었다. 별 거 없다. 하지만 THUMBNAIL을 의심해본다. 먼저 크롬을 살펴봐야겠다고 생각했기에 Users\swing\AppData\Local\Google\Chrome\User Data\Default\Cache에 있는 파일들을 확인했다. 그러나 유의미한 결과를 발견하지 못했다. 다음으로 Microsoft의 IE를 살펴봤다. Thumbnail Database Viewer로 열어본 결과 플래그같은 문자열을 발견했다. 답: SWING{LONGTIMENOSEE} 2022. 7. 11. [NONamed] 유출된 자료 거래 사건 2 USB로 옮겼을 것으로 의심되는 파일... 파일을 입수한 경로... 파일 이름을 변경했다고 해서 NTFS니까 $LogFile을 NTFS Log Tracker를 이용해 분석하고자 했다. [$LogFile] NTFS 트랜잭션 로그 파일 작업 중 갑작스러운 파일 손실 시 복구를 위해 사용한다. 모든 트랜잭션 작업을 레코드 단위로 기록한다. 파일이나 디렉터리의 생성, 삭제, 데이터 작성, 파일명 변경과 같은 트랜잭션 작업 내용은 $LogFile의 작업 레코드에 저장된다. $LogFile을 분석하기 위해서 NTFS Log Tracker를 사용한다. $LogFile, $UsnJrnl:$J, $MFT 파일을 추출해서 NTFS Log Tracker에 넣어 결과값 파일(.db)를 생성해낸다. 하지만 뚜렷하게 의미있는 부.. 2022. 7. 11. [NONamed] 유출된 거래 자료 사건 1 FTK imager로 vmdk 파일 열기 분석하고 있는 것 : 구매자의 PC 알아내야 하는 것 : 구매자의 PC에 사용된 USB는 무엇인가 REGA를 사용해 레지스트리를 분석하기 위해 ftk imager에서 다음과 같이 파일을 추출한다. C:\Windows\System32\config\SAM >>>> 출처: https://tkdlzhdl.tistory.com/27 [살아서 숨쉬자:티스토리] REGA HLKM\SYSTEM\ControlSet001\Enum\USB -> 모든 USB 관련 목록(마우스, 키보드, 데이터 저장 장치 등) 이 부분에서는 알아낼 수 있는 것이 명확하지 않았다. 나는 USB 제조사와 volume label을 알아내야 했기에 이 부분에 집중했다. HKLM\SYSTEM\ControlSet.. 2022. 7. 11. 레지스트리, 하이브 파일 레지스트리 - 시스템에서 사용하는 운영체제 내에서 작동하는 모든 프로그램의 시스템 정보를 담고있는 데이터베이스 - 커널과 같은 핵심 요소 - 휘발서 메모리 - 원래 윈도우에서 프로그램에 대한 구성 설정을 각 프로그램마다 .ini 파일을 사용했지만, 파일들이 시스템 여러 곳으로 퍼짐으로써 찾기가 쉽지 않아 레지스트리가 도입되었다. 레지스트리 하이브 - 루트키 아래 서브키로부터 그 아래 모든 서브키를 포함하는 트리 구조 - 레지스트리 정보를 갖고있는 물리적인 파일 - C:\Windows\System32\config 에 존재 루트키 레지스트리가 있는데 하이브 파일이 필요한 이유 - 레지스트리는 메모리에 존재. 휘발성이기 때문에 컴퓨터를 재부팅하면 사라진다. - live system이라면 바로 메모리 덤프 떠서.. 2021. 12. 13. volatility 플러그인 정리 https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com 워게임 풀면서 직접 써본 것 imageinfo 메모리 덤프 파일의 프로파일 정보 출력 프로파일은 운영체제와 하드웨어 아키텍처 식별 정보 vol.py -f imageinfo pslist 프로세스 리스트 보여준다. 은닉 프로세스 탐지 불가 -> psscan, pstree가 찾아준다. vol.py -f --profile=[운영체제] pslist filescan 추출할 .. 2021. 12. 12. 이전 1 2 다음
