kkamagi.story

1. regedit 실행 2. 키 생성 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control HKLM -> System -> CurrentControl -> Control 에 키 생성 위와 같이 Control 키 경로로 이동 후 마우스 우클릭 -> 새로만들기 -> 키 클릭 키 이름을 StorageDevicePolicies 로 변경 해당 키에 DWORD(32비트)값을 새로 만들고 이름은 WriteProtect 로 지정후 값은 1로 설정한다. WriteProtect 값이 1일 경우 : 쓰기방지 설정된 것 WriteProtect 값이 0일 경우 : 쓰기방지 해제된 것

1. HashCalc 설치 (구글검색) 및 실행 2. 테스트 파일 생성 1) 최초 생성 (hashtest.txt) 2) 파일 복사 및 파일명 변경 복사 및 파일명 변경 : hashtest01.txt : hashtest02.txt 3) 내용 수정 hashtest02.txt 파일의 내용 수정 3. 테스트 파일 검증 - Data Format : File - Data : C\Users\uk0305\desktop\hashtest.txt C\Users\uk0305\desktop\hashtest01.txt C\Users\uk0305\desktop\hashtest02.txt 파일명 MD5 SHA1 hashtest.txt b043240f7723bca3180caa50a4d63a03 c07961b4cb4e86d96ba23a..

디지털포렌식에서 디지털증거를 수집, 획득하여 조사할 경우 준수되어야 할 5가지 원칙 1. 무결성의 원칙 수집증거가 위변조 되지 않았음을 증명하는 것 디지털증거 수집 시 데이터 해쉬(Hash) 값 = 법정제출시점의 데이터 해쉬(Hash) 값 --> 디지털증거의 무결성이 입증됨. * 해쉬(Hash) 디지털증거의 데이터 비트열을 출력하는 값. MD5는 128bit SHA-1은 160bit 의 고정된 짧은 길이로 변환하여 출력. 2. 연계보관성(Chain of Custody)의 원칙 디지털 증거물을 획득 > 이송 > 분석 > 법정제출 의 각 단계에서 담당자 및 책임자를 명확히 해야함을 이야기 하는 것. 최종 보고 단계까지 디지털 증거물이 손상되지 않도록 조치를 취한 것을 기록, 담당자는 확인, 인수인계과정에서 ..

FTK imager 다운로드 및 설치 -> 실행 2020.08.17 기준 최신 버전 4.3.0 1. 공식홈페이지에서 다운로드 및 설치 실행화면 2. 디스크 이미징 - 사본이미지 생성은 원본 저장매체의 물리적 데이터를 파일로 만드는 작업 - 파일, 디렉터리, 디스크의 비할당영역, 슬랙공간을 포함하여 저장 - 사본이미지 생성 전 쓰기방지 설정 필수 - 디지털포렌식전문가 2급 시험 : 시험장에서 분석을 위해 분석용 USB가 주어지며, 해당 USB를 원본저장매체로 간주하고 이미징 작업을 진행 (연결하기 전 레지스트리를 통한 쓰기방지 설정 필수) : 기존에 시험볼 때에는 encase의 fastblocSE 기능을 이용했었으나, 15회 시험 부터는 Encase 지원이 안된다고 한다) 쓰기방지설정 참고 : kkamag..