dotaky99

이벤트 로그 Windows의 로그는 이벤트 로그라고 불리며 윈도우에서 일어나는 일들을 분야별로 나눠 기록하고 있다. 직접 윈도우 이벤트 뷰어로 가는 방법도 있지만 실행창에서 eventvwr.msc를 실행하여 갈수도 있다. 이벤트 로그란 감사 설정된 시스템의 모든 기록을 담고 있는 데이터라 할 수 있다. 윈도우 비스타를 넘어오면서 확장자가 evt에서 evtx로 변하게 되었다. 큰 특징으로는 Binary에서 Binary + XML로 저장 형태가 추가되었다. 로그 데이터는 시스템에서 발생하는 모든 문제에 대한 유일한 단서가 될 수 있다. 정확한 문제진단은 못하지만 그 판단은 분석가의 판단에 따르게 된다(리버스 커넥션 등). 응용 프로그램 로그 Windows 번들 소프트웨어를 비롯해서 사용자의 애플리케이션의 이..

Volatility github GitHub - volatilityfoundation/volatility: An advanced memory forensics framework Command vol.exe -f [파일 명] imageinfo vol.exe -f [파일 명] --profile=[imageinfo] [명령어] Plugin pslist : 프로세스 리스트 출력(가상 주소 V) psscan : 프로레스 리스트 출력(물리적 주소 P) procdump : 프로세스 실행파일 추출( -p [PID] -D [경로] ) memdump : 프로세스가 사용한 메모리영역 덤프 filescan : 메모리상의 파일 오브젝트 전체검색(패턴 패칭) cmdscan : cmd에서 실행한 명령어 netscan : 네트워크 ..

디지털 포렌식 디지털 포렌식은 Forensic Science에서 발전된 것이다. Computer Science에서 발전된 것이 아니다. 흔히 포렌식이라 함은 법의학, 법과학이라고 하고, '디지털'이라는 단어가 붙어서 범위가 늘어난 것이다. 즉, 디지털 포렌식은 법의학의 한 분야라고 볼 수 있다. 즉, 한 마디로 정의하면 법적 목적으로 사용을 위한 디지털 증거 분석과 관련된 법적 절차라고 할 수 있다. 법정에서 쓰일 증거가 증명력을 가지는 것이 핵심이다. 때문에, 디지털 포렌식 전문가는 컴퓨터 기술 뿐만이 아니라 국가의 법, 절차에 대한 이해가 필요하다. ※증명력 vs. 증거능력 증거능력 : 증거로써의 능력(있다, 없다). 증명력(Weight) : 사건에 미치는 영향을 뜻함. --> 증거능력이 있어야 증명..

들어가기전에 SSD(Solid State Drive)가 개발되기 이전 대부분의 컴퓨터에서 보조 저장 장치의 역할은 HDD(Hard Disk Drive)가 맡아왔다. SSD가 입출력 속도를 압도적으로 HDD를 누를 수 있었던 가장 큰 이유는 데이터를 읽고, 쓰는 과정에서 물리적인 움직임을 전기적인 신호로 모두 대체한 것이기 때문이다. 즉, HDD는 물리적인 플래터의 회전 속도와 헤드의 움직임 필요 여부에 따라 데이터 입출력 속도가 크게 좌우되지만, 전기적인 신호로 제어되는 플래시메모리, SSD와는 확연히 속도면에서 느림을 보인다. 하지만 윈도우는 주기억장치의 속도의 한계 때문에 운용속도 향상을 위해 관리 정책들을 구성해 왔는데, 그 과정에서 프리패치 개념도 생겼다. 플래터 방식의 HDD를 사용하면 프리패치..

파일의 생성 및 수정시간에 대해서 알아보자 파일 수정은 파일이 생성된 상태에서 가능하기 때문에 보통은 아래와 같이 볼 수 있다. 생성시간

: 쓰기 방지는 왜 필요할까? 디지털 포렌식에서 가장 중요한 목적은 법정에 제출하여 증거로써의 효력을 갖추는 것이다. 즉, 포렌식 목적으로 분석을 수행하거나 이미징을 할 때에는 증거의 무결성을 위해 쓰기방지가 반드시 이루어져야 한다. :: 쓰기 방지 도구란? 디지털 저장 자치를 분석하고자 할 때 원본 데이터가 수정 및 삭제되지 않도록 방지해주는 도구를 말함. 쓰기 방지 장치는 하드웨어, 소프트웨어 쓰기 방지 장치 두 개로 나뉜다. 가장 기본적인 무결성을 인정받기 위한 논리적 쓰기방지를 해보자. 쓰기 방지는 논리적인 방법 말고 포렌식 도구를 이용하는 방법도 있다. 레지스트리 편집기를 실행하는 방법은 여러가지이다. 레지스트리 편집기를 열여주자 경로 \HKEY_LOCAL_MACHINE\SYSTEM\Curren..

: Jumplist 윈도우 7부터 생긴 윈도우의 새로운 아티팩트. 점프리스트는 사용자가 최근에 열었던 파일 또는 폴더로 바로 접근하기 위해서 소프트웨어 프로그램 또는 운영체제에 의해서 생성된다. 윈도우 7/8에서는 사용자는 레지스트리를 수정해서 점프리스트 항목들의 수를 설정할 수 있었지만, 윈도우 10에서는 개수를 설정하는 것이 불가능 해졌다. 점프리스트는 최근 접근한 파일 및 폴더를 기록하고 응용 프로그램을 기준으로 그룹화한다. 점프리스트가 등장하기 전에는 Recent의 LNK file 또는 레지스트리의 Userassist키를 통해서 최근에 사용했던 응용프로그램, 문서 및 폴더 등에 대한 로그를 기록했다. 점프리스트는 파일 이름, 경로, MAC 타임, 볼륨 명, 웹을 통해 업로드 또는 다운로드 된 기록..

대상 : Windows 10 :LNK(바로가기) 란? LNK 파일이란 Windows에서 원본 파일, 폴더 또는 응용 프로그램에 대한 '바로가기' 또는 '링크(link)'를 말한다. 흔히 'Windows Shortcu' 이라고도 불리며, 공식적으로는 'Shell Link'이다. LNK는 Windows 95에 도입이 시작되었다. 만드는 방법은 실행 가능한 프로그램 및 파일, 폴더를 우클릭하여 '바로 가기 만들기'를 눌러주면 생성된다. 윈도우 설치 시 바로가기 파일 생성은 기본옵션으로 활성화되어 있기 때문에 사용자가 파일이나 폴더에 접근할 경우 바로가기(LNK)파일이 생성된다. 윈도우 10 기준 LNK 파일이 자동으로 생성되는 경로는 아래와 같다. Name Path Start Menu Places \Progr..