kkamagi.story

디지털포렌식 분석 도구 중 X ways 사의 WinHex 라는 프로그램이 있다. X ways 포렌식 도구 중 하나이며, 공식사이트를 들어가니 아래와 같이 여러 도구들이 있다. 조금 찾아보니 X way forensic 관련하여 2015년도에 발행된 도서도 있다. 지금 사기엔 아까운데 중고로 알아봐야겠다. Hex Editor와는 달리 여러 포렌식적인 기능들이 있으며, 유료버전이 존재해서 일정 크기 이상의 파일은 저장이 불가능하다. 구글 검색을 잘하면 full version을 찾을 수 있다고 한다. 필자는 못찾았다..

예전 강의 때 참고하였던 정보. doc 샘플 악성코드 분석 관련 프로그램 및 사이트이다. OfficeMalScanner.exe www.aldeid.com/wiki/OfficeMalScanner/OfficeMalScanner OfficeMalScanner/OfficeMalScanner - aldeid Description OfficeMalScanner is a MS Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. The tool will look for several strings and API calls to guess if the document is ..

1. 케이스 생성 케이스 정보 입력 조사관 정보 Data Source 추가 2. 프로세싱 - 프로세싱 모듈 선택 Recent Activity : Hash Lookup File Type Identification Extension Mismatch Detector Embedded File Extractor Picture Analyzer Keyword Search Email Parser Encrpytion Detection Interesting Files Identifier Central Repository PhotoRec Carver Virtual Machine Extractor Data Source Integrity Drone Analyzer Plaso IOS Analyzer (iLEAPP) Android..

리눅스 시스템에서 휘발성 데이터를 수집하는 스크립트에 사용되는 명령어를 정리해 놓은 내용을 에버노트에서 블로그로 옮긴다. 귀찮다.. 프리미엄을 해지 했더니 장치 동기화도 한대이상 안된다. 괜히 해지했나 싶다가도.. 잡스런 메모나 데이터 정리할 목적으로 지금 아니면 못할 것 같다. 온라인 상에서도 미니멀 라이프를 실현하자. 활성 시스템에서의 수집하는 휘발성/비휘발성 데이터 구분 및 수집 수집 정보 관련 명령어/경로 날짜/시간 정보 date ex) date +%Y%m%d%H%M 시스템 정보 uname –a 프로세스 정보 (비정상 프로세스 확인) ps –ef / ps -elf / ps -aux pstree top lsof –p [PID] / lsof -i [port] vmstat lsmod 메모리 사용율 확인..

디지털포렌식전문가 2급 시험이 코로나19 때문에 연기되는 바람에 작년 2020년도는 15회 실기 시험을 치루지 못했다. 1급이나 16회 필기시험 또한 무기한 연기된 상태이다. 15회 실기시험이 마지막인데.. 꼭 붙어야 한다. 오늘 기준으로 확진자 수가 400명대로 진입했으나 아직은 갈길이 멀기에.. 언제 치룰 수 있을지 모르겠다. 논문도 써야되고 미뤄둔 공부도 해야되고 할게 많아서 인지 다행인지 모르겠다. 공부한것 안 까먹도록 틈틈히 봐야겠다. 2021년에는 디지털포렌식으로 전직하기 위해서 좀 더 준비된 사람이 될 수 있도록.. 노력하자. ============================================================================ 디지털포렌식 실기 대비 도서 ..

에버노트를 안쓰기로 하면서 기존에 묵혀두었던 정리안된 강의들으면서 정신없이 필기했던 메모들이 엄청 많다.. 올해 안에는 다 정리하는 걸로 하자. 틈틈히 조금씩 수정하다 보면 언젠가 도움이 되겠거니.. * 사전지식 1. CPU 및 어셈블리어 관련 : 아키텍쳐 별로 거기에 맞는 명령어를 넣어줘야 한다. (x86, x64, arm, mips는 CPU 아키텍쳐일 뿐) : CPU가 C언어를 이해할 수 없기 떄문에 cpu가 이해할 수 있는 어셈블리어가 있는 것. : 어셈블리어는 CPU 아키텍쳐에 따라 결정된다. 즉, CPU 아키텍쳐에 따른 어셈블리어를 사용해야 한다. 2. 메모리 : 루트킷 악성코드는 커널영역까지 침범하는 악성코드 : 윈도우 기반 악성코드 -> 프로그램 제작 과정 참고 : 바이너리와 시스템이 상호작..

대학원에서 동기 분이 속성?으로 했던 강의 메모인데.. 급하게 메모하느라 무슨 내용인지 정리가 너무 안되어 있다. 우선 비공개.. 1. 복습 * 디스크복구관련참고 - donerdrives : 디스크 내부 부품판매업체 - 국내는 명정보기술 - hddsurgery 헤드암을 들어내는 기술 별도의 부품을 사용해 헤드끼리 붙지 않게 하기 위함 * 이미징 1:1 이미징 1:2 이미징 - 마스터카피 - 워킹카피 : 원본자체가 손상이 되어버리면 실제 원본으로 되돌릴 수 없기 떄문에 실제 원본에 대한 손상을 최대한 방지하기 위하여 최초 마스터카피 1, 워킹카피 1 을 유지한 상태에서 워킹카피를 통해 분석 하는 도중 손상되면 마스터카피를 통해 또다른 워킹카피를 이미지하여 분석을 진행한다. -> 실제 이미징장비를 통해 실습..

it.chosun.com/site/data/html_dir/2016/10/26/2016102685005.html

윈도우 이벤트 관리도구를 사용하여 xml 추출하기 secuworld.tistory.com/10 윈도우 이벤트 로그 분석-이벤트 관리도구(wevtutil) wevtutil은 Window OS에서 제공하는 CLI(Command Line Interface) 이벤트 로그 관리 도구이다. 1. 명령어 개요 명령과 옵션 옵션 설명 /f: 출력 XML 또는 텍스트 형식으로이 되도록 지정 합니다. 경우 wevtutil > wevtutil el | findstr Sysmon www.igloosec.co.kr/BLOG_Sysinternals%20System%20Monitor(Sysmon)%EC%9D%84%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20System%20%ED%83%90%EC%A7%80%EB%B0%..

'윈도우포렌식 실전 가이드(고원봉/한빛미디어)' 도서를 참고하여 포스팅하였다. 침해사고대응 및 컴퓨터 포렌식 관련하여 긴급하게 윈도우 호스트에 대한 휘발성 데이터를 수집하여 조사 시 참고한다. * 라이브 포렌식 단계에서 영향을 받는 시스템 구성 요소 메모리 : Live Response 도구를 실행하면 프로세스가 생성되고 실행 코드와 오브젝트들이 메모리에 적재된다. 네트워크 : 사용하는 도구가 네트워크 기능을 이용하면 시스템은 지정된 소켓을 열고 외부와 네트워크 연결을 맺는다. 그리고 네트워크 연결도 커널 오브젝트에 의해 관리됨으로써 메모리에 있는 커널 테이블을 갱신한다. 프리패치 : 윈도우는 새로운 프로그램이 실행될 때마다 프리패치(Prefetch) 파일을 만든다. 레지스트리 : 많은 Live Respo..