본문 바로가기

디지털 포렌식18

디지털 포렌식 18 [2024.11.11] [디스크 포렌식]  디스크를 4개 생성한다고 해도MBR은 1개, BR이 3개 생성된다고 보면 된다MBR은 512bytes로 구성되어 있다예약 영역이 존재하는데,  FAT1과 FAT2가 존재하게 된다  앞에 3개를 넘고 나서 어디에서 부트 코드가 시작되는지 알려 준다노란색은 미디어 종류고, 빨간색은 백업 섹터다  위 화면에서 파란색 부분은 부트 코드라고 볼 수 있고,446bytes를 차지하고 있다  * 모두 화면에 적힌 것과 같은 순서로 읽는다  * 이 구조 잘 알고 있어야 됨    먼저 강사님께서 올려 주신 이미지 파일을 FTK Imager로 확인한다파일명은 FAT32_file.001이다  파일을 열어 확인했을 때 root를 볼 수 있고,root에서 MSI44d27.tmp 디렉터리.. 2024. 11. 14.
디지털 포렌식 17 [2024.11.08] [안티 포렌식] > 스테카노그래피 > 파일 시그니처 - JPEG: FF D8 FF E0, FF D8 FF E8 / FF D9- GIF: 47 49 46 38 37 61, 47 49 46 38 39 61 / 00 3B- PNG: 89 50 4E 47 0D 0A 1A 0A / 49 45 4E 44 AE 42 60 82- PDF: 25 50 44 46 2D 31 2E / 25 25 45 4F 46- ZIP: 50 4B 03 04 / 50 4B 05 06- ALZ: 41 4C 5A 01 / 43 4C 5A 02- RAR: 52 61 72 21 1A 07 / 3D 7B 00 40 07 00  [디지털 증거를 찾아라] 01. 사진을 조사하여 은행과 계좌번호 찾기  > 은행: YESBANK> .. 2024. 11. 8.
디지털 포렌식 16 [2024.11.07] [디지털 증거를 찾아라]  > 힌트: 웹 브라우저 기록, 파일 삭제 > 포렌식 결과: 메일 증거로 보아 존은 피터를 살해하지 않음  01. 이미지 마운트  AreYouWrothy.E01 이미지 업로드 후사용자를 확인했을 때 john의 존재를 확인했다   02. 사용자 확인 > john> 메일 확인: 삭제된 파일(x)> 삭제되지 않은 메일 파일 추출: john_smith.ost-> kernelostviewer로 메일 내용 확인 / Chrlotte May 메일 확인(암호화)> 암호화 분석 복호화(Public Key와 Private Key 찾기)-> john > document 디렉터리 검색 > private- eid... 키 파일 찾음 > 웹 브라우저(Chrome) History 파일.. 2024. 11. 8.
디지털 포렌식 15 [2024.11.06] [디지털 포렌식] > 프로파일 분석 01. 디지털 증거 찾기  URL: http://www.hanrss.com마지막 접근 시간: 2012-08-30 14:59:49 *IE 9 이하: Cache, History, Cookie, Download 경로가 따로 있다IE 10 이상: %Profile\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV*.dat  탐색기를 통하여 profile 디렉터리를 먼저 들어가게 되면,계정이 7ester인 것을 알 수 있다  현재 7easter 사용자의 캐시를 이용하여 분석할 예정이다  IE10Analyzer 프로그램을 열어서 Open을 누르고,위에서 확인한 캐시 데이터를 지정한다  시간을 지정하는 항목에서는 UTC.. 2024. 11. 8.
디지털 포렌식 14 [2024.11.05] [디지털 증거 찾기] 01. 시스템 사용자 이름 > YRG  REGA 프로그램을 설치 후파일 > 레지스트리 파일 수집 > 현재 시스템 레지스트리 수집을 통해현재 나의 PC 레시스트리 정보 수집을 실시한다  파일 수집이 완료되면 완료되었다는 창이 나타난다  파일 > 레지스트리 분석을 누르고시간을 서울로 설정하게 되면 위 화면과 같이 나타난다차례대로 정보를 기입하고 레지스트리 정보를 저장한폴더를 지정하고 분석 시작을 누른다  분석 중에 이런 식으로 진행 결과가 나타난다  처음으로 알아낸 것은 오른쪽의 도구 상자에서사용자의 계정 정보를 선택하면 내 PC의 사용자 이름을 확인할 수 있다  02. 컴퓨터 이름은? > YRG_PC  이번에는 컴퓨터 이름을 찾기 위해키워드 검색에서 찾을 대상을.. 2024. 11. 6.
디지털 포렌식 13 [2024.11.04] 01. 사용자 기본 폴더 > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders  사용자에 대한 기본 폴더가 해당 경로에 나타나게 된다  02. 마지막 로그인한 사용자 정보 > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  마지막 사용자인 YRG를 확인할 수 있다  03. 시스템 종료 시간 > HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\Windows  이런 식으로 시스템 종료 시간이 헥사 값으로 나온다헥사 값을 계산하면 시스템 종료 시간을 알 수 있으며,Co.. 2024. 11. 6.

티스토리툴바