kkamagi.story

+ USB 메모리 사용 흔적 삭제하기 요즘은 너무나 쉽게 볼 수 있는 USB 메모리. 이 메모리를 사용하면 PC에는 USB메모리 사용 흔적이 남게 됩니다. 보안상의 이유 등으로 이런 흔적을 삭제해야 하거나, 마찬가지로 보안상의 이유로 다른 USB 메모리가 사용된 적은 없는지 알아보는 방법에 대해 얘기 해 보도록 하죠. 이는, MP3 Player, 외장형 하드디스크등 메모리로 잡히는 모든 USB장치에 적용 됩니다. 1. 레지스트리 첫번째로 USB메모리 사용 흔적이 기록되는 곳은 바로 레지스트리 입니다. 레지스트리 에디터 실행 방법 정도는 다들 아시리라 믿고. (시작버튼 -> 실행 -> "regedit" 입력 후 엔터) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\..

케이스 생성 증거물 등록 Process 작업 키워드 검색 1) 디스크 전체 엔트리를 대상으로 검색할 키워드를 작성 - 키워드 검색을 수행할 엔트리 선택 - 검색할 키워드를 작성 - 검색옵션 - Search Options 설명 - 저자 키워드 검색 분석 옵션 시그니처(signature) 분석 Options 테이블 설명 해쉬 라이브러리(Hash Library) 분석 ----------------------------------------------------------------------------------------------------------------------------------- 최근 공식사이트 확인 결과, Encase 버전이 20.x 형식으로 변경되었다. 현재 20.3 버전 Release..

디지털포렌식 과정에서 파일의 해쉬값을 통한 무결성 검증은 필수적이다. 파워쉘 명령어를 통해서도 확인이 가능한 방법이 있어 참고용으로 좋을 것 같다. 스크립트 작성시 활용하는 등의 방법도 있을 것 같다.

이번에 AccessData에서 주관하는 자격증인 ACE를 취득하게 되었는데, 생에 최초 포렌식 자격증이기도 하고, 포스팅으로 남기면 좋을 것 같아 글을 올린다. (참고로 2번에 합격하였다. 100USD * 2 ...아무정보도 없는 상태에서 1번만에 합격하는 것은 무리다.)또한 해외사이트에 떠도는 Dump 파일도 구매하였는데 최신이 아니며 정답률은 10~20% 정도이다. 속지마세요 ACE 합격 후에 해당 Dump 사이트에 이메일로 항의하여 겨우겨우 환불받았다.. (주의할 점이 정확한 점수나 합격 시점에 대한 시각 등을 요구해온다. 필자는 ACE에 이메일로 문의해서 해당 정보를 받았고 이 정보를 koreadump에 다시 첨부해서 환불을 받았다) 우선 여기저기 블로그 글을 찾아봤는데 솔직히 참고할 만한 마땅한..

Windows 10 docker install docker for windows installer.exe docker image download > docker kalilinux/kali-linux-docker 이미지 확인 → 현재 kali linux 1개만 있는 것으로 확인 kali linux로 bash shell 실행하기 → 제대로 안됨 apt install metasploit-framework ruby kali_linux docker로 실행하기 https://gist.github.com/returnwellbeing/0eb4b9a9dabf8cff25e66e934de6ee53 docker pull kalilinux/kali-linux-docker docker run -ti kalilinux/kali-l..

dd를 이용한 파티션 정보 주출 - 옵션 if : 읽을 디스크 이미지 of : 저장될 출력 v일 bs : 한 번에 읽어 들일 블록 크기, 디폴트는 512 바이트 skip : 읽기 전에 건너 뛸 블록 개수, 크기는 bs임 count : 입력에서 출력으로 복사할 블록 개수, 크기는 bs임

GUI 모드로 도커이미지 설치 및 도커 컨테이너 실행하기 처음 사용하기 때문에 도커를 콘솔모드로 실행하고 조작하기가 불편 하실꺼예요. 도커를 설치하면 툴박스는 "Kitematic (Alpha)" 아이콘이 바탕화면에 생성되었을 것이고 Docker for Windows를 설치한 분은 작업표시줄의 고래아이콘을 클릭하여 팝업 메뉴에서 Kitematic를 클릭하여 Kitematic를 실행해주세요. kitematic 다운로드 및 설치(압축해제) 폴더 생성 필요 압축 해제 후 실행 Docker for Windows에서 Kitematic 선택하기 Kitematic는 미리 만들어놓은 도커용 이미지 마켓 정도로 생각하면 됨 이미지를 만들어 배포도 가능합니다. 도커 컨테이너 실행 화면으로 넘어갔을 경우 이 화면으로 넘어올려..

나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다. file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인 file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다. 이제 wireshark로 패킷을 분석해보자. TCP 통신이 이뤄졌던 것을 확인 Follow Stream을 통해 데이터를 확인 tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다. 리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자. 6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysi..

[NETWORK] chapter01 - 파일을 다운로드하고 플래그를 찾아라. https://github.com/ctfs/write-ups-2015/blob/master/asis-quals-ctf-2015/forensic/zrypt/README.md https://www.virustotal.com/gui/file/37ec11678ab1ac0daf8a630fdf6fb37ca250b3c4f44c092f1338a14409fb3f79/details HTTP Object 확인 위와 같이 특이한 이름의 파일들을 확인해보면 다음과 같다. YupE1RB8 EX8UPdUb xnCub4eW EO4qqhn8 VuwPO9eM BOQqupmS E0frzRAi file type 확인 후 zipinfo 명령어를 통해 압축파일들의 정..

[NETWORK] chapter01 - 하늘은 왜 푸른색입니까? binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인 wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다. 검색하면 특정 패킷에 특정됨을 확인할 수 있다. 패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다. 283, 288, 293, 298, 303, 308, 313 패킷에 대해 wiresha..