보안 (106) 썸네일형 리스트형 윈도우 악성코드 포렌식 출처 : http://forensic-proof.com/ (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.) 1. 프리패치 · 목적 : 하드디스크의 속도 때문에 초기 참조하는 파일의 순서를 저장해서 부팅시 빠르게 로드할 수 있도록 함. · 윈도우 프리패칭 (Windows Prefetching) - 실행 파일이 사용하는 시스템 자원 정보를 특정 파일에 저장 프리패치 파일 - 윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드 - 사용자가 파일을 실행할 경우 미리 저장된 정보를 이용해 초기 실행 속도 향상 - 윈도우 XP 이후 (2003, Vista, 2008, 7, 8, 10)의 운영체제에서 제공 · 프리패칭 유형 - 부트 프리패칭 (Boot Prefetching) : XP, 2003, Vi.. log2timeline(plaso) 사용방법 이미지를 지정해줘도 되지만 편하게 아티팩트를 수집해 해당 파일만 분석하겠다. 다음의 파일을 수집한다. 1. 인터넷히스토리 파일 경로 : %SystemDrive%\Users\계정\AppData\Local\Microsoft\Windows\WebCache\ 2. 레지스트리 파일 파일 경로 NTUSER.DAT %SystemDrive%\Users\계정 ntuser.dat %SystemDrive%\Users\계정 SAM %Windir%\System32\config SECURITY %Windir%\System32\config SOFTWARE %Windir%\System32\config SYSTEM %Windir%\System32\config 3. 이벤트 로그 파일 경로 : D:\Windows\System32\wine.. [안드로이드 앱 APK 분석] 도청 의심 앱 4개 보호되어 있는 글입니다. DFRWS 2016 논문 리뷰 보호되어 있는 글입니다. 안드로이드 카카오톡 백업하기(사진, 대화내용) 1. 대화내용 백업 기존의 스마트폰에서 카카오톡을 실행시킨다. 설정 -> 실험실 -> 대화내용백업 2. 사진 백업 Android/data/com.kakao.talk/contents 위의 경로 내에 있는 파일들을 복사해 온다. 또는 아래와 같은 방식으로 파일들을 가져온다. http://moaimoai.tistory.com/16 위 링크에서 adb 프로그램을 다운받는다. 해당 폴더에서 알트 D -> cmd -> 다음과 같이 입력한다. (마지막에 마침표가 잘 안보이지만 점까지 찍어준다. 1) sdcard 폴더에 저장되는 경우(삼성 갤럭시)adb pull /sdcard/Android/data/com.kakao.talk/contents . 2) 루트 폴더에 저장되는 경우adb pull /Android/data/c.. Shortcut 출처 : https://msdn.microsoft.com/en-us/library/windows/desktop/cc144175(v=vs.85).aspx 레지스트리 상세 위치 : \HKEY_LOCAL_MACHINE\SOFTWARE\Classes\[프로그램이름]\shell\open\command 유저가 파일과 같은 Shell 객체를 마우스 우클릭 했을 때 이 Shell은 shortcut 메뉴를 보여준다. 이 메뉴는 유저가 다양한 행동을 취할 수 있도록하는 명령어 목록으로 구성된다. 이러한 명령어들은 shortcut menu items 또는 verbs이라 한다. shortcut 메뉴는 커스터마이징될 수 있다. 1. 파일 시스템의 Shorcut Menus에대한 소개 shortcut 메뉴들은 대개 파일 관리를 위.. [Sleuth Kit] fls - 이미지 파일 목록 추출 출처 : http://wiki.sleuthkit.org/index.php?title=Fls 명령어 사용 방법 : http://www.sleuthkit.org/sleuthkit/man/fls.html 파일다운로드: 1. 개요 : fls는 파일 시스템 내의 파일과 디렉토리 이름을 목록화 한다. 이는 주어진 디렉토리의 컨텐츠를 처리하여 삭제된 파일의 정보를 보여준다. 2. 출력 결과 : 기본적으로 (-l 이나 -m을 사용하지 않은 경우) 디렉토리 내의 각 파일 당 한 줄로 출력된다. NTFS의 예로 다음과 같이 출력된다. r/r 1304-128-1: IO.SYS 3. 파일 타입 출력결과의 r/r은 파일타입을 말한다. 앞의 'r'은 파일의 file name strucutre 내에 저장된 타입을 말한다. 뒤의 '.. Nmap Fragmentation Scan과 Fragmentation Attack 1. Nmap 이란? - 고든 라이온(GordonLyon) 제작- 보안 스캐너 (네트워크 “지도”), 네트워크 점검, OS검색, Version 점검 등- 서비스 탐지 프로토콜 : 자신을 광고하지 않는 수동적인 서비스 발견- 원격 컴퓨터들의 자세한 정보- 예제 : nmap –T4 –A –v www.nmap.org 1) TCP 플래그 : 두 지점 간의 통신을 할 때 기능을 알려주는 flag TCP Flag 설명 SYN(Synchronization:동기화) TCP에서 세션 성립을 위해 가장 처음 보내는 패킷 ACK(Acknowledgement) 상대방에게 패킷을 받았다는 걸 알려주는 패킷 RST(Reset) 현재 접속하고 있는 곳과 연결을 끊기 위해 보내는 패킷 PSH(Push) 버퍼가 채워지기를 기다리지 않.. 이전 1 2 3 4 5 6 7 8 ··· 14 다음
