본문 바로가기

보안/포렌식

(22)
배치파일(*.bat)을 이용해 시스템 정보 수집 라이브 상태에서 배치스크립트를 이용하면 컴퓨터의 많은 정보를 획득할 수 있다. 사실 지금 작성하는 코드는 공격자가 피해자 컴퓨터에 침입했을 때 사용하는 배치 스크립트이다. 이 부분을 포렌식적으로 접근해서 하나씩 확인하도록 한다. 1. 컴퓨터이름, 날짜, 현재시간 확인 echo %computername% %date% %time% 2. 윈도우즈 버전 확인 ver 3. 환경변수 확인 set 4. 로그온 제한사항 및 도메인 정보의 현재 설정 상태 net ACCOUNTS 5. 지정된 도메인 확인 net ACCOUNTS /domain 6. 현재 컴퓨터에 적용되어있는 공유자원 출력 net share @echo off if /i {%1} == {info} %systemroot%\system32\dllcache\msin..
Windows Search 분석 프로그램 (Windows.edb) 이 프로그램은 Digital Forensics Challenge 2018 에서 최초 공개했으며 무료로 사용이 가능하다.다운로드 링크 : https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html Windows Search Database로부터 획득가능한 정보 : - 파일 구조 - 인터넷 마지막 방문한 페이지, 접속 기록, 즐겨찾기(Edge, IE) - OneNote 노트명 - Outlook 메일 수신 시간, 내용 - 기타 MS 프로그램 장점 : - 안티포렌식 극복(CCleaner 외..) - 파일 내용 (최대 2KB) - 많은 시간 정보 - 삭제된 레코드 다량 존재 사용자 행위를 추적하기에 적합한 Windows Search Database 분석 프로..
리눅스 주요 로그 1. 시스템 확인 ifconfiguname -a 2. 계정확인 /etc/passwd/etc/shadow 3. 네트워크, 프로세스, 패키지 확인 netstat -anpps -efrpm -qa -last 4.자동실행 crontab -lls -llt /etc/init.dls -llt /etc/xinet.d 5. 설정파일 확인 /etc/hosts/etc/hosts.allow/etc/hosts.deny/etc/inittabiptables -L 6. 로그가 잘 남는지, ssh가 실행되고 있는지 확인 cat /etc/syslog.confcat /etc/inetd.confcat /etc/ssh/sshd_config 7. 실행흔적 .history.bash_history.rhosts 8. setuid, setgid fin..
이메일 아티팩트 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 이메일 아티팩트 1. 파일구조 - 헤더 Return-Path: X-SpamCatcher-Score: 1 [X]Received: from [136.167.40.119] (HELO dc.edu)by fe3.dc.edu (CommuniGate Pro SMTP 4.1.8)with ESMTP-TLS id 61258719 for example_to@mail.dc.edu; Mon, 23 Aug 2004 11:40:10 -0400Message-ID: Date: Mon, 23 Aug 2005 11:40:36 -0400From: Taylor Evans User-Agent: Mozilla/5.0 (Wind..
외장 저장장치 포렌식 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 외장 저장장치 1. 인식 절차 1) 버스 드라이버는 PnP 관리자에게 장치의 고유 식별번호(device descriptor)로 연결 알림 - 식별번호 – 제조사, 일련번호, 드라이버 등을 포함 2) .PnP 관리자는 받은 정보를 기반으로 Device Class ID를 설정하고 드라이버 검색 3) 드라이버가 없을 경우, PnP 관리자는 장치의 펌웨어로부터 드라이버를 전달받아 설치 - 장치 드라이버 설치 과정은 Setup API 로그에 기록 4) 드라이버 설치와 함께 레지스트리에 장치 관련 키/값 생성 - HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\{DID, de..
이미지 파일을 VMWare에서 부팅하기 1. 먼저 인케이스 또는 FTK를 이용해 마운트를 시킨다 2. 010에디터를 관리자 권한으로 실행한다. 3. Crtl+D 한후 마운트한 드라이브를 선택한다. 4. Save As 로 이미지 파일을 *.dd로 저장한다. 5. ProDiscoverBasic Free버전을 다운받고 설치한다.(구글검색) 6. Tool -> Image Conversion Tools -> VMWare Support for DD images 7. 새롭게 생긴 *.vmdk 파일과 dd를 가상머신에 사용할 폴더애 넣는다. 8. VMWare를 실행 9. File -> New Virtual Machine -> Custom -> Next -> I Will install the operating system later -> 버전선택 -> loc..
USB 사용기록 분석 1. 이벤트로그확인 C:\Windows\System32\winevt\Logs\System.evtx 2. 레지스트리확인 추출 : C:\Windows\System32\config\RegBack\SYSTEM 추출 : C:\Windows\System32\config\SYSTEM HKEY_LOCAL_MACHINE\System\Controlset002\Control\Class\{...ID...}\00XX {...ID...}의 Class가 USB인 것을 찾는다. 키를 설정한 시간으로 최종으로 꽂은 시간을 확인할 수 있다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Portable Devices\Devices\.........#UMB#..&... ... VEN_제조사이름&하드웨어..
볼라틸리티 (Volatility) -메모리 포렌식 소개 - Python 기반 Windows Memory Forensic Tool - Windows, Linux, Mac OS에서 실행할 수 있음 - Open source 이며, Plugin 형태로 다양한 기능들을 제공 - 플러그인을 자신이 직접 만들어 사용가능 - 메모리 덤프 파일(img, raw, dmp), 하이버네이션 파일(hiber), 가상 머신 메모리(vmem) 분석가능 - 획득할 수 있는 정보 - 트리 형태의 프로세스 리스트, 프로세스가 로드한 DLL과 핸들, 프로세스 환경변수와 Import, Export하는 함수, 네트워크 정보, 시스템에서 로드했던 드라이버 목록 - 실행 중이거나 종료 또는 루트킷으로 은닉된 프로세스의 오프셋, SID(보안 식별자), PID, 스레드 수, 핸들 수, 시작 및 종..