![]()
windows.cmdline: 사용자가 프로세스를 실행할 때 입력했던 명령어 출력 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.cmdline > cmdline.log windows.filescan : 메모리에 존재하는 모든 파일 목록 출력 플러그인 - 플러그인을 통해 출력한 파일은 주소(offset)와 함께 출력되고, 해당 주소를 이용해 windows.dumpfiles 플러그인으로 파일을 덤프할 수 있다 ! 찾은 파일을 복구하고 싶으면 windows.dumpfiles로 offset 주소를 덤프해야 함 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challe..
![]()
windows.handles : 해당 프로세스가 열고 있는 핸들 출력 핸들 : windows에서 여러 오브젝트를 지칭하는 포인터 windows.dlllist: 해당 프로세스가 이용하는 DLL 목록 출력 정상 프로세스에 악성 DLL 로드시켜 악성 동작을 수행하는 경우 DLL 목록을 확인해볼 수 있다.특히 DLL 이름보다도 경로가 정상적인지 확인할 것 !! python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.dlllist --pid 2096 > dlllist_2096.log windows.dumpfiles : 파일을 덤프할 수 있는 명령어 (--pid)--virtaddre 옵션 - 해당 가상 주소에 위치하는 ..
![]()
volaltility 에서는 config.json 저장해두고, 다음 호출 때에는 설정 정보를 이용해 더 빠르게 분석하는 것이 가능!! windows.pslist : 프로세스 목록 출력 PS C:\mem> python Z:\Tools\volatility3\vol.py -c config.json -f Z:\Tools\volatility3\Challenge.raw windows.pslist > pslist.log PID / PPID : 프세세스 ID 및 부모의 프로세스 IDImageFileName : 프로세스 이름 CreateTime : 프로세스 생성 시간 windows.psscan - pslist가 더 빠르지만, 악성코드에 의한 조작에 취약 - pslist에서는 표시되지 않는 프로세스가 psscan에서..
![]()
https://support.broadcom.com/group/ecx/productdownloads?subfamily=VMware%20Workstation%20Player&freeDownloads=true Home - Support Portal - Broadcom support portalIt appears your Broadcom Products and Services are supported by one of our certified Support partners Click below to be redirected to the appropriate Support Partner Portal to request support For non-product related issues (Support Po..
Chrome , 삼성인터넷, safari... 디지털 포렌식 분야에서는 가능한 많은 브라우저 아티팩트를 알고 있는 것이 유리하다. 심지어 범죄 행위, 데이터 은닉이 빈번하게 발생하기 때문에 사생활 보호가 강조되는 Brave, opera 등의 웹 브라우저 아티팩트도 종종 분석할 일이 생김 !! Chromium 프로젝트 : (구글) 오픈 소스 웹 브라우저 프로젝트 웹 브라우저 아티팩트 🌐 주요 브라우저 아티팩트 5가지아티팩트설명예시 위치 (Chrome)방문 기록사용자가 접속한 웹사이트 URL과 시간 기록History DB캐시웹사이트에서 불러온 이미지, JS 파일 등 저장Cache 폴더쿠키세션 정보, 로그인 상태 등 저장Cookies DB저장된 비밀번호로그인 시 저장된 계정 정보 (암호화됨)Logi..
![]()
access.log : 서버 처리하는 모든 요청을 기록 error.log : 서버가 요청을 처리하는 도중 발생한 MaridDB는 SQL 쿼리만 이해 가능 (recent)10.0.2.2 클라이언트의 ip주소[09/Apr/2025:21:38:24 +0900]접속 요청 시간"POST /login_check.php HTTP/1.1"1) 요청 메서드 2) 요청 페이지 3) 프로토콜 및 버전500응답 상태 코드389응답 바이트 크기"http://localhost:8080/login.php"이전 페이지 url"Mozilla ...........클라이언트의 브라우저 정보 (user-agent) error.log 분석 - SQUl injection 을 수행하는 ip,pw 를 입력해 에러를 유발 id: guest..
![]()
이벤트 로그이벤트 로그 : 사용자 로그인, 시스템 시작/종료 등 Windows 운영체제에서 발생하는 다양한 이벤트들을 기록한 파일 💡 이벤트 로그는 악성코드 동작을 알아내기에 유용하다 ! 악성코드는 동작 과정에서 계정을 생성하고, 해당 계정에 높은 권한을 부여하며, 특정 커맨드를 이용해 프로그램을 실행하는 등의 행위를 한다. 이벤트 로그에서 기록하는 시스템 이벤트 - 사용자 계정 생성, 암호변경, 권한 변경- 시스템 로그인 성공, 실패 - 프로세스 시작 및 종료 - 시스템 원격 로그인 - 저장장치 연결 이벤트 로그는 시스템에서 발생한 사용자의 행위를 파악하는 데 중요하다. 또한, 시스템에서 발생한 오류, 보안 결함도 추적 가능하다. 악성코드 침해 사고 발생 시 악성코드가 어떻게 침투했는지, 어떻게 ..
$LogFileNTFS의 저널 로그. 파일 시스템의 메타데이터 변경을 기록. 주로 트랜잭션 단위로 저장됨.$UsnJrnl변경된 파일에 대한 Update Sequence Number (USN) 정보를 저장. 즉, 어떤 파일이 언제 생성/수정/삭제됐는지 히스토리를 남김.$LogFile 이 복구용이라면, $UsnJrnl 은 감시 및 이력 추적용 1. $LogFile - 파일시스템의 저널링(복구용) NTFS가 손상되었을 때 자동 복구를 위한 트랜잭션 🔍 저장하는 정보 예시:파일 생성/삭제 등의 작업 내역어떤 메타데이터를 수정했는지작업을 언제 시작했고 완료했는지 2. $UsnJrnl - 파일 변경 이력 추적용 로그 파일이 언제 생성, 수정, 삭제되었는지 추적하는 용도 (보안/버전관리)- NTFS에서 파일이..
![]()
레지스트리 하이브 : 레지스트리 파일들. 여러 레지스트리 파일들을 모아 마치 하나의 레지스트리 데이터베이스인 것처럼 보여준다. 레지스트리에는 5개의 루트 키가 존재한다.HKCU / HKLM 내에 주요한 사용자 데이터가 많이 저장된다. - 5개의 루트 키는 독립적이지 않음. ex) HKCU는 모든 사용자 정보를 담고 있는 HKU의 하위 키로 존재함- HKCC는 HKLM 과 완전히 동일하지는 않지만, 대부분의 데이터 유사레지스트리 수집 방법 레지스트리는 시스템 파일이기 때문에, 시스템 동작 시에는 복사해올 수 없다. dirty 상태 (사용 중이던 레지스트리가 정리되지 않은 상태로 시스템에 복사된 상태) 아직 쓰여지지 않은 데이터가 존재하고, 이런 데이터들이 LOG1, LOG2 파일에 남아 있다. 따라서..
![]()
: 컴퓨터 디스크에 저장된 파일을 효율적으로 관리하고 접근할 수 있도록 돕는 구조 ❗ 디스크 내의 파일을 체계적으로 관리하여 사용자 경험을 향상시키고, 데이터 접근 속도를 높이며, 시스템 자원을 효율적으로 사용하도록 돕는다!- 적절한 공간에 파일 저장 - 사용자가 파일 생성, 수정, 삭제할 수 있도록 - 파일 생성 시각, 수정 시각, 변경 시각 - 백업, 복수 지원 - 사용자에 따라 접근 권한 부여 종류 WindowsNTFSWindows NT 3.1 이후부터 현재까지 사용하고 있는 파일시스템- 뛰어난 복구 기능으로 디지털 포렌식 분석에 유용- 대용량 디스크에서도 뛰어난 성능 ReFSNTFS를 대체하기 위한 차세대 파일시스템LinuxEXT4Linux에서 2006년부터 사용하고 있는 파일시스템- Ex..
