본문 바로가기

보안/포렌식

 (22)
증거 수집 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 1 온라인 수집 1.1 라이브데이터 순위 구분 수집항목 1 비활성 프리패치, 최근 캐시 파일 2 활성 네트워크 정보 3 활성 물리메모리 4 활성 프로세스 정보 5 활성 사용자 로그온 정보 6 활성 시스템 정보 7 활성 네트워크 인터페이스 정보 8 활성 작업 스케줄러, 클립보드, 자동실행정보 9 비활성 MBR, VBR, 파일시스템 메타데이터, 파일시스템 로그 10 비활성 레지스트리, 이벤트 로그 11 비활성 바로가기, 점프목록 12 비활성 %SystemRoot% 하위 중요 파일 13 비활성 웹 브라우저 아티팩트 14 활성 네트워크 패킷 시스템 전원이 켜져 있는 상태에서 수집할 수 있는데이..
침해사고 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 1 침해사고 유형 1.1 웹을 통한 감염 1.1.1 악성 ActiveX 설치 유도 ž · 동영상 플레이어, 보안 프로그램 등으로 위장하여 설치 유도 1.1.2 웹 애플리케이션 취약점 ž · 웹 키보드 보안 모듈, 공인인증서 모듈 등의 취약점 이용 1.1.3 악성 파일 다운로드 실행 ž · 동영상, 토렌트 파일의 확장자 변조 (.avi.exe, .torrent.exe)ž · 애플리케이션(동영상 플레이어, 한글, 오피스 등) 취약점 활용 1.2 웹하드를 통한 감염 1.2.1 웹하드 다운로드 관리자 감염 ž · 7.7 DDoS, 3.4 DDoS, 6.25 사이버테러의 원인ž · 웹하드 서버를..
인터넷 사용 기록 포렌식 프로그램 (인터넷 익스플로러 10, 11, 엣지 브라우저) 인터넷 익스플로러 10, 11, 엣지 브라우저로부터 인터넷 사용 기록을 학인하고 삭제된 기록을 복구하는 방법에 대해서 설명한다. Web browser forensic tool : internet explorer 10, 11 and Microsoft Edge 다운로드 : http://moaistory.blogspot.com/2016/08/ie10analyzer.html 프로그램 설명 : http://moaistory.blogspot.kr/2016/07/internet-explorer-10-microsoft-edge.html 프로그램이름 : IE10Analyzer 프로그램환경 : .Net 4.0 버전이상 설치 필요 프로그램장점: - 삭제된 레코드 복구 - Private 브라우징 데이터 확인 가능 - 라이브 ..
Volume Snapshot Service 조사하기 윈도우의 시스템 복원 기능으로 XP의 시스템 복원 지점이 Vista 이후 VSS로 변화되었다. 하지만 정작 C드라이브를 열거나 마운팅된 이미지를 보아도 확인할 수가 없다. 따라서 다른 도구를 이용해야 하는데...도구 없이도 분석이 가능하다. 우선 이미지를 마운팅 시킨다. 커맨드 창을 실행한다. vssadmin list shadows /for=k: 여기서 k는 마운트 된 경로이다. 이후 C드라이브에 바로가기 파일을 만들어주어 분석을 할 수 있는 환경을 만들어준다. mklink /d c:\show7 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy7\ 여기서 중요한 점은 마지막에 꼭 \를 붙여주어야 한다는 것이다. 폴더를 보면 show7폴더가 생겼다. 링크를 끊는 방법은 바..
TSK TSK 정의 : - TSK(The Sleuth Kit)은 Brian Carrier가 File System Forensics을 위해 개발한 도구이다. - 지원하는 명령어 도구는 다음과 같다. blkcalc, blkcat, blkls, blkstat, diskstat, ffind, fls, fsstat, hfind, icat, ifind, ils, img_cat, img_stat, istat, jcat, jls, mactime, mmcat, mmls, mmstat, sigfind, sorter, srch_string, tsk_comparedir, tsk_gettimes, tsk_loaddb, tsk_recover - 다운로드 주소 : http://sourceforge.net/projects/sleuthkit..
FAT : 삭제한 파일 복구 FAT 파일 복구 하기 1. FAT 볼륨 생성 (윈도우 7) - FAT 예제를 위해 볼륨을 생성한다. - 내컴퓨터 -> 오른쪽클릭 -> 관리 -> 저장소(우측) -> 디스크관리 -> 나눌 파티션 선택 후 -> 볼륨 축소 - 원하는 크기만큼 설정 후 축소 -> FAT32로 포맷 2. 드라이브에 파일 생성 및 삭제 - 드라이브에 복구 할 파일을 삽입 후 삭제한다. - 긁기 귀찮으므로 짧은 텍스트 파일을 이용했다. 3. HxD.exe 프로그램 실행 - 다른 프로그램도 상관없으나 편한 Hxd.exe를 이용했다. - 좌측 상단에 디스크 열기 선택 4. VBR 분석 - 클러스터 크기와 섹터 크기, FAT 개수, FAT 사이즈 등을 구한다. - 아래의 표를 이용하자 - 분석하면 다음과 같다. - 섹터 크기 : 512..

티스토리툴바