SWUFORCE/Inflearn (8) 썸네일형 리스트형 [인프런 스터디] 6주차 - 바로가기 파일 포렌식(.lnk) 개념 및 실습 $MFT (Master File Table)NTFS 파일 시스템(Windows의 파일 시스템)에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가짐$MFT란 MFT 엔트리의 집합 MFT 엔트리파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있음파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 $MFT 실습[root]\$MFTmft explorer 도구 이용하여 살펴보기 $LogFile메타데이터의 트랜잭션 저널 정보저널링(Jounaling), 트랜잭션(Transaction) $UsnJrnl파일이나 디렉터리에 변경 사항이 생길 때 이를 기록시간 순서대로 엔트리 저장, 기본 크기는 32MB $LogFile, $UsnJrnl 실습ftk imager 로.. [인프런 스터디] 5주차 - Windows Registry Windows Artifacts윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 RegistryInstallDate - DCodeInstallTime - Epoch Converter -- ppt와 드림핵에서 다 배웠던 내용들이라 생략 -- Shellbags사용자가 접근한 폴더 정보 기록함 > 삭제된 폴더의 정보도 찾을 수 있음BagMRU: 폴더의 구조 계층적으로 나타냄Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정 저장경로HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagsHKCU\Software\Classes\Local Settings\So.. [인프런 스터디] 5주차 - 레지스트리 포렌식과 보안 레지스트리온라인 레지스트리 활성시스템에서의 레지스트리 분석RegEdit, RegEdt32 를 통해 분석 가능오프라인 레지스트리 비활성시스템(포렌식 복제 드라이브나 이미지)에서의 레지스트리 분석레지스트리 하이브 파일* 의 수집이 필요운영체제 버전별 하이브 파일의 정확한 위치를 사전에 숙지포렌식 분석 대상의 대부분 차지* 하이브(Hive) 파일: 레지스트리 정보를 저장하는 물리적인 파일, 일반적인 방법으로는 접근 불가 HKEY_CLASSES_ROOT (HKCR)별도의 하이브 X, 다른 루트키의 하위키로 구성됨HKLM\SOFTWARE\Classes + HKU\_Classes HKEY_CURRENT_USER (HKCU)하위키 구성: HKU (HKEY_USERS) - 현재 로그인한 사용자의 하위키 HKEY.. [인프런 스터디] 4주차 - 디지털 증거 획득 & 증거 수집 방안 증거 획득 증거 획득 방식 저장매체 복사원본 읽기 → 사본 쓰기장점 - 비교적 손쉬운 방법으로 증거 수집 가능 - 필요한 데이터만 빠르게 수집 가능 → 신속한 분석 - 활성 시스템(시스템 전원을 내릴 수 없는 경우)에서 유용하게 활용단점 - 활성 시스템의 무결성 훼손 > 무결성 훼손을 최소화하는 방안이 필요 (fcopy) - 파일과 디렉터리 단위의 정보만 획득 (일반적인 복사 작업) - 삭제된 파일이나 은닉된 데이터를 확인하기 어려움 저장매체 복제원본의 모든 물리적 섹터 → 사본 저장매체비트스트림 복제장점 - 무결성 유지 - 원본의 모든 정보를 획득 → 삭제된 파일 복구 가능단점 - 원본보다 크거나 동일한 사본 저장매체가 필요 → 사본 저장매체의 낭비 - 사본 저장매체(기기) 특성에 종속 (저장매.. [인프런 스터디] 3주차 - 섹션 2, 3 기본 프로그램 설치와 활용 용도HxD헥스값 보는 데 사용, 파일의 바이트값을 보기 쉽게 보여줌Everything컴퓨터 자료 전체를 빠르게 검색해서 찾아줌, 찌꺼기까지 가능 ← 파일 찾을 때 유용7-zip압축 파일 푸는 데 사용 (7z, rar, ... 값을 특이한 파일들 여는 데 사용)Notepadd++여러가지 파일들 한 번에 볼 수 있음Sysinternal suitestrings, proexcp, procmon ← 같은 프로그램 주요 사용ftk-imager디스크 이미징, 마운팅 등autopsy디스크 이미징 + 강력한 추가적인 기능 디스크 이미징 실습ftk imager 열기 → 상단바 Create Disk Image 누르기 → Physical Drive 선택 → Image Destination .. [인프런 스터디] 3주차 - 메모리 포렌식 물리메모리 포렌식물리메모리 이해목적:- 프로세스의 행위 탐지- 네트워크 연결 정보- 사용자 행위- 복호화, 언패킹, 디코딩된 데이터- 패스워드와 암호 키 획득메모리 지속성 - Red Hat 6.1 과 Solaris 8 테스트메모리 포렌식 대상 - 물리메모리, 페이지 파일, 하이퍼네이션 파일물리메모리 소개- 메모리 확인은 관리자 터미널에서 systeminfo 명령어를 통해 확인 가능, 시스템 등록정보 통해서도 가능물리 주소 확장 (PAE, Physical Address Extension): 물리적 주소 지정 비트 확장 (4GB > 64GB), 접근 가능한 물리 주소 공간 증가 - 윈도우 Vista 이상에서 PAE 설정: 관리자 터미널에서 bcdedit(BCD, Boot Configuration Data) .. [인프런 스터디] 2주차 - 부팅과 데이터 저장/전송 & 부팅 절차 부팅 절차1. 전원 버튼 누름 - 컴퓨터 전원 버튼 누르기 - 전원공급기는(Power Supply)는 외부 전압을 낮고 안정적인 전압으로 변환하여 공급 - 메인보드의 클록 발생기는 전압이 전달되면 주기적으로 클록* 발생 → 클록 주기에 따라 컴퓨터 시스템 동작 * 클록 신호: 디지털 회로에서 0(Low)과 1(High) 상태가 일정한 주기로 반복되는 구형파(Sqaure Wave) 형태의 전기 신호 2. ROM BIOS* 로드 - 클록 CPU로 전달 - CPU는 메인보드의 ROM BIOS를 메모리에 로드 후, ROM BIOS 실행 * ROM BIOS: 운영 체제 및 프로그램에 런타임 서비스를 제공하고 부팅 프로세스 중에 하드웨어 초기화를 수행하는 데 사용되는 펌웨어 유형 3. POST 작.. [인프런 스터디] 1주차 - 섹션 1. 디지털 포렌식 소개 디지털 포렌식이란?컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야 디지털 포렌식의 필요성?일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐범죄 수사 이외의 분야에서도 활용도 증가 → 민사사건에서의 포렌식, 일반 기업에서의 수요 급증(내부 정보 유출, 회계 감사 등) 디지털 포렌식의 유형침해 사고 대응증거 추출실시간사후 조사사태 파악 및 수습범죄 증거 수집엄격한 입증 필요 X엄격한 입증 필요 O 디지털 포렌식의 대상디스크 포렌식 → 컴퓨터 디스크 (윈도우, 리눅스, MacOS / 개인, 서버, 클라우드)메모리 포렌식 → 컴퓨터 메모리 (ram)네트워크 포렌식 → 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설.. 이전 1 다음
