kkamagi.story

1. Process Monitor란? Windows Sysinternals Suite에서 제공하는 도구로, Microsoft에서 제공 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 프로세스 모니터링 및 분석, 디버깅을 목적으로 시스템의 파일 시스템, 프로세스/스레드, 파일, 네트워크, 레지스트리 동작 등을 실시간으로 캡쳐(수집)하여 모니터링 하는 프로그램 너무 많은 데이터를 수집한다는 점이 가장 큰 장점이자 단점 주요 기능 Capture : 프로세스 로그 수집 캡쳐 on/off, 단축키 : Ctrl + E Autoscroll : 최근 활동한 프로세스 목록 이동 Clear : 캡쳐된 프로세스 출력 내용 초기화 Filter : 필터링 설정(..

* 공격 벡터 (Attacker Vector) - [정보보호] 해커가 컴퓨터나 네트워크에 접근하기 위해 사용하는 경로나 방법. 해커가 시스템의 취약점을 공격할 수 있는 수단을 제공하는 것으로, 바이러스, 이메일, 첨부 파일, 웹페이지, 팝업윈도, 인스턴스 메시지 및 대화방 등을 이용한다. 이러한 방법은 모두 운용자의 방어 능력이 취약한 프로그래밍에서 기인한 것으로 방화벽이나 안티 바이러스 소프트웨어를 사용해 보지만 완전한 보호 방법이 되지 못한다. 한국정보통신기술협회에서는 위와 같이 정의하고 있다. 취약점과 혼동이 생긴다. 취약점과 비교해보면 취약점은 공격자가 스템의 정보 보증을 낮추는데 사용되는 약점이다. 라고 설명되어 있다. 그 약점을 공격하기 위한 부분 사용자의 입력을 받는 곳을 공격 벡터라고 할 ..

출처 : https://t.me/androidMalware

OSINT (Open Source Intelligence) 오픈된 정보 (구글, 네이버, SNS, 쇼단 등, 구글해킹) Offensive Defensive 2개의 관점으로 나뉜다. whois를 이용한 대상 정보 수집 (대상에 대한 간단한 정보 수집) # whois -h google.com DNS 정보 수집 - fierce # fierce -dns tsherpa.co.kr -threads 3 -> 서브 도메인 정보 수집, 서브 도메인과 IP정보 매칭 목록이 있으면 정보 수집 시 수월 DNS 정보 수집 - recon-ng oot@kali:~# recon-ng [*] Version check disabled. _/_/_/ _/_/_/_/ _/_/_/ _/_/_/ _/ _/ _/ _/ _/_/_/ _/ _/ _..

비트로커(BitLocker)암호화 개요 Bitlocker는 Windows vista부터 자체적으로 지원하는 파일시스템 암호화 기술(EFS)를 뜻한다. AES 128-bit 암호를 사용하여 볼륨을 암호화 하고 복구시 사용자애게 암호화 당시 설정했던 패스워드 혹은 복구 키를 요구한다. 복구키의 경우 MS 계정, USB드라이브, 파일 그리고 직접 프린트하여 물리적으로 존재하는 종이에 기록 할 수 있다. Bitlocker의 암호화 해제 패스워드는 기록되지 않지만 대신 복구 키가 사용자의 PC에 저장되는데 복구키가 저장된 파일을 열람하거나 검색 기능으로 해당 파일을 검색할 경우 ID 키와 복구 키 등이 메모리에 적재되며 해당 메모리를 분석하면 암호화 해제에 필요한 정보가 획득이 가능하다. 참고 : (m.blog...

-----------1장 디지털포렌식 의의-------------- 디지털포렌식 5대원칙 -영어로도 나올 수 있음 적법성 재현성 신속성 연계보관성 무결성 (해시값) 디지털포렌식 수행과정 쓰기 방지 -> 사본 -> 원본은 봉인 조금이라도 오류가 있으면 원본과 사본의 해시값이 틀려짐 분석 및 조사 과정에서 분석 전에 고지를 해야하고 서명을 받아야 함 -> 저장매체 수리가 필요한 경우 하드웨어 수리 전담팀이 있음 보고서 - 읽기만 되는 cd에 넣어서 제출 디지털포렌식 전자적증거 전자적증거가 가지는 특징 디지털포렌식 전자적증거 특성과 규제 음란물 배포죄, 아청법, 성폭력범죄의 처벌등에 관한 특례법 -> 같이 엮어서 보기 -------------2장 컴퓨터구조와 디지털 저장메체--------------- 발전과정..

+ USB 메모리 사용 흔적 삭제하기 요즘은 너무나 쉽게 볼 수 있는 USB 메모리. 이 메모리를 사용하면 PC에는 USB메모리 사용 흔적이 남게 됩니다. 보안상의 이유 등으로 이런 흔적을 삭제해야 하거나, 마찬가지로 보안상의 이유로 다른 USB 메모리가 사용된 적은 없는지 알아보는 방법에 대해 얘기 해 보도록 하죠. 이는, MP3 Player, 외장형 하드디스크등 메모리로 잡히는 모든 USB장치에 적용 됩니다. 1. 레지스트리 첫번째로 USB메모리 사용 흔적이 기록되는 곳은 바로 레지스트리 입니다. 레지스트리 에디터 실행 방법 정도는 다들 아시리라 믿고. (시작버튼 -> 실행 -> "regedit" 입력 후 엔터) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\..

1) 디스크포렌식 분석 기초 - 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요 - 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음 - 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력 디지털포렌식2급 필기 스터디 1일차 메모 -------------1장 디지털포렌식 의의-------------- 디지털포렌식 5대원칙 -영어로도 나올 수 있음 적법성 재현성 신속성 연계보관성 무결성 (해시값) 디지털포렌식 수행과정 쓰기 방지 -> 사본 -> 원본은 봉인 조금이라도..

레지스트리 구성 HKEY CLASS ROOT 파일연관성과 COM정보 HKEY LOCAL MACHINE 시스템의 하드웨어/소프트웨어 정보 HKEY CURRENT USER 현재 시스템 로그인 된 사용자 정보 HKEY USERS 모든 사용자 정보 HKEY CURRENT CONFIG 시스템 시작 시 사용되는 하드웨어정보 실습 - REGA 도구 Windows Registry Analysis - REGA를 이용하여 EC3 Challenge 실습 1. 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사 -> REGA 분석 시 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다. default, NTUSER.DAT, SAM, SECURITY, softwar..

케이스 생성 증거물 등록 Process 작업 키워드 검색 1) 디스크 전체 엔트리를 대상으로 검색할 키워드를 작성 - 키워드 검색을 수행할 엔트리 선택 - 검색할 키워드를 작성 - 검색옵션 - Search Options 설명 - 저자 키워드 검색 분석 옵션 시그니처(signature) 분석 Options 테이블 설명 해쉬 라이브러리(Hash Library) 분석 ----------------------------------------------------------------------------------------------------------------------------------- 최근 공식사이트 확인 결과, Encase 버전이 20.x 형식으로 변경되었다. 현재 20.3 버전 Release..