SWUFORCE (21) 썸네일형 리스트형 [인프런 스터디] 6주차 - 바로가기 파일 포렌식(.lnk) 개념 및 실습 $MFT (Master File Table)NTFS 파일 시스템(Windows의 파일 시스템)에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가짐$MFT란 MFT 엔트리의 집합 MFT 엔트리파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있음파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 $MFT 실습[root]\$MFTmft explorer 도구 이용하여 살펴보기 $LogFile메타데이터의 트랜잭션 저널 정보저널링(Jounaling), 트랜잭션(Transaction) $UsnJrnl파일이나 디렉터리에 변경 사항이 생길 때 이를 기록시간 순서대로 엔트리 저장, 기본 크기는 32MB $LogFile, $UsnJrnl 실습ftk imager 로.. [드림핵 스터디] 6주차 - 시스템 로그, Track_the_file $LogFile파일시스템의 저널링* 기능을 위해 존재하는 파일저널링의 단위는 트랜잭션(Transaction, 쪼갤 수 없는 업무의 최소 단위)으로, $LogFile은 이 트랜잭션을 기록하는 파일임* 저널링(Jornaling): 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여, 오류가 발생했을 때 복구할 수 있도록 하는 기능 $LogFile 수집 및 분석[root]\$LogFileftk imager 로 $MFT, $LogFile 추출분석 도구는 NTFS Log Tracker 사용 NTFS Log Tracker 에서 직접 결과 조회해도 되지만, DB Browser for SQLite 이용 추천 EventTime: 이벤트가 발생한 시간, 시스템 시간으로 표현됨2026-05-18 16:02.. 영화 '스마트폰을 떨어뜨렸을 뿐인데' 속 공격 형태 분석 스마트폰을 떨어뜨렸을 뿐인데 스마트폰을 떨어뜨렸을 뿐인데: Just Dropped Smartphone Operation주요 내용을 포함하고 있고, 가상의 이야기를 실제와 비교한 글이다! This post include the ending, Just for fun! Intro. 아침에는 미리 설정한 알람으로 일어나고, 나가기 전에는 날씨와 교통 정보를 확인하blog.plainbit.co.kr넷플릭스 오리지널 '스마트폰을 떨어뜨렸을 뿐인데' 속 공격자인 오준영의 공격 방법과 범죄 흐름 분석, 스마트폰 해킹 사고 대비 해결책 탐구 2023년에 개봉한 넷플릭스 영화 , 주인공인 이나미의 분실 스마트폰을 주운 오준영이 이나미의 폰에 스파이웨어를 설치하여 벌어지는 사이버 범죄 행위 과정을 살펴본다. .. [인프런 스터디] 5주차 - Windows Registry Windows Artifacts윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 RegistryInstallDate - DCodeInstallTime - Epoch Converter -- ppt와 드림핵에서 다 배웠던 내용들이라 생략 -- Shellbags사용자가 접근한 폴더 정보 기록함 > 삭제된 폴더의 정보도 찾을 수 있음BagMRU: 폴더의 구조 계층적으로 나타냄Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정 저장경로HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagsHKCU\Software\Classes\Local Settings\So.. [인프런 스터디] 5주차 - 레지스트리 포렌식과 보안 레지스트리온라인 레지스트리 활성시스템에서의 레지스트리 분석RegEdit, RegEdt32 를 통해 분석 가능오프라인 레지스트리 비활성시스템(포렌식 복제 드라이브나 이미지)에서의 레지스트리 분석레지스트리 하이브 파일* 의 수집이 필요운영체제 버전별 하이브 파일의 정확한 위치를 사전에 숙지포렌식 분석 대상의 대부분 차지* 하이브(Hive) 파일: 레지스트리 정보를 저장하는 물리적인 파일, 일반적인 방법으로는 접근 불가 HKEY_CLASSES_ROOT (HKCR)별도의 하이브 X, 다른 루트키의 하위키로 구성됨HKLM\SOFTWARE\Classes + HKU\_Classes HKEY_CURRENT_USER (HKCU)하위키 구성: HKU (HKEY_USERS) - 현재 로그인한 사용자의 하위키 HKEY.. [드림핵 스터디] 레지스트리, find the USB, Autoruns 레지스트리(Registry)Windows 운영체제에서 사용자, 시스템, 프로그램 실행과 관련된 수많은 설정들을 저장할 수 있는 계층형 데이터베이스*디지털 포렌식 과정에서 기본적으로 수집하는 데이터인 분석 대상 시스템의 기본 정보, 시간 정보를 포함함사용자의 응용프로그램 실행 흔적이나, USB 연결 흔적 또한 파악 가능하여 분석 가치가 큼* 계층형 데이터베이스: 데이터가 트리 형태의 구조로 조직되어 반복적인 부모-자식 관계를 가지는 것 레지스트리 편집기(Regedit) Windows + r 창에서 regedit 입력하여 실행 레지스트리 경로, 레지스트리 값 확인 가능 값 직접 붙여 넣어 경로 찾기컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\C.. Genian EDR을 활용한 macOS 위협 분석 Genian EDR을 활용한 macOS 위협 분석 Genian EDR을 활용한 macOS 위협 분석(Defense Evasion#1)공격자는 시스템 침투 후 난독화, 인젝션, 보안 비활성화 등을 통해 방어를 회피하며, macOS에서 chmod 명령으로 악성코드 실행 권한을 부여해 악용합니다. 이와 같이 macOS 환경에서의 방어 회피 기www.genians.co.kr여러 악성코드 사례를 통해 공격자들이 macOS 환경에서 어떤 기술을 사용해 보안을 피하는지, Genian EDR을 활용해 탐지하고 분석함 1. Defensive Evasion피해자의 시스템에 침투한 공격자는 보안 시스템을 피하고 악성 행위를 수행하기 위해 난독화와 인젝션 및 보안 기능 비활성화 등의 방어 회피(Defensive Ev.. [드림핵 스터디] 4주차 - 파일시스템 파티션과 볼륨파티션: 저장 장치 내의 공간을 분리해 독립적인 공간을 만든 것볼륨: 파일시스템을 갖춘 저장 공간, 드라이브라고도 부름 (C 드라이브라고 부르는 것이 바로 볼륨 지칭하는 것) [파티션, 볼륨 실습]- 여분의 저장 공간 필요, USB 사용이 가장 좋지만 가급적이면 운영체제가 설치되어 있지 않은 D, E 드라이브로 실습 진행- 볼륨 포맷 실습은 잘못 진행하면 중요 정보가 모두 삭제되니, 정확히 따라 하고 있는지 중간중간 확인 필요 Windows + s 버튼 누르고 '파티션' 검색해 '하드디스크 파티션 만들기 및 포맷' 실행해 줌 디스크 0은 3개의 파티션으로 나뉘어 있고, 중간 파티션은 NTFS 파일시스템을 가지며, C 드라이브라는 문자가 부여됨디스크 1은 1개의 파티션으로 구성되어.. 이전 1 2 3 다음
