정보보안/forensic10 Windows SAM SYSTEM 이해하기 SAM windows 계정의 패시워드 해시를 저장하고 있는 파일 /etc/shadow의 윈도우 버전 SYSKEY로 암호화 되어있다. 때문에 SYSKEY를 이용해 복호화해야만 password hash를 얻을 수 있다. format username:SID:LM hash:NTLM hash::: 윈도우7 이상은 NTLM hash만 사용한다. SYSKEY SAM의 암호화에 사용된다. key size = 128bit SYSTEM 파일에서 얻을 수 있다. SAM에서 pw hash를 얻으려면 SAM과 SYSTEM 파일 둘 다 필요하다. (kali) samdump2 SYSTEM SAM 으로 얻을 수 있다. (윈도우) 아래 블로그 참조 https://umbum.dev/77 Windows Authentication [ SA.. 2021. 11. 15. LNK 파일 분석 알아가는만큼 추가할 예정 LNK 파일이 생성되는 경우 특정 응용프로그램을 실행할 때 바탕화면에 자동으로 생성 사용자가 편의를 위해 바로가기를 생성했을 때 생성 로컬 및 원격 데이터 파일, 문서를 열었을 때 생성 -> ctd-d의 [X 회사의 재정 정보를 훔치기…] 문제 바탕화면 외에도 최근 문서 폴더, 시작프로그램, 빠른 실행 등 다양한 곳에서 생성 https://c0wb3ll.tistory.com/entry/LNK-File-Structure LNK File Structure LNK File Structure LNK File? LNK File은 다른 데이터들에 접근하기 위한 정보를 가지고 있는 데이터이다. Shell Link Binary File Format은 확장자가 .LNK인 윈도우 파일 포맷이다. .. 2021. 11. 15. volatility 설치(windows, kali) windows10 standalone (비추) Volatility 2.6 Release (volatilityfoundation.org) Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org chrome 안됨 edge에서 다운받음... standalone은 플러그인 추가하는게 불가능한지는 모르겠지만 일단 찾아보니까 안나와서 비추... ※ 주의 volatility > python2.7 volatility3 > python3 windows10 (추천) 1. python 2.7 설치 2. python2 -m pip --version [**] 나는 python3과 구분하기 위.. 2021. 11. 2. AI 음성인식 스피커 분석 강의 정리 inflearn 챌린지로 알아보는 디지털 포렌식 (자세한 사항은 inflearn 유료 강의 참고) Tools hxd binwalk : 시그니처 기반으로 파일 구조를 확인하고 저장된 데이터를 추출할 때 유용한 도구 windows grep : 특정 문자열을 포함한 파일을 찾고 싶을 때 그 많은 파일 중 유용한 파일을 찾아내는 게 관건 .0 파일 hxd 라는데 여기서는 .0 파일은 그냥 넘어갔다. 왜지??? .1 파일 hxd -> mp4임을 알 수 있다. 하나하나 mp4로 돌려서 들어본다. 내가 추출한 의미있는 문장들은 다음과 같다. list에서 useful hand를 찾을 수 있다. did you just get to the office? remeber focusing on about and 13(리스닝도 .. 2021. 10. 20. 이전 1 2 다음
