![]()
windows.cmdline: 사용자가 프로세스를 실행할 때 입력했던 명령어 출력 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.cmdline > cmdline.log windows.filescan : 메모리에 존재하는 모든 파일 목록 출력 플러그인 - 플러그인을 통해 출력한 파일은 주소(offset)와 함께 출력되고, 해당 주소를 이용해 windows.dumpfiles 플러그인으로 파일을 덤프할 수 있다 ! 찾은 파일을 복구하고 싶으면 windows.dumpfiles로 offset 주소를 덤프해야 함 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challe..
![]()
windows.handles : 해당 프로세스가 열고 있는 핸들 출력 핸들 : windows에서 여러 오브젝트를 지칭하는 포인터 windows.dlllist: 해당 프로세스가 이용하는 DLL 목록 출력 정상 프로세스에 악성 DLL 로드시켜 악성 동작을 수행하는 경우 DLL 목록을 확인해볼 수 있다.특히 DLL 이름보다도 경로가 정상적인지 확인할 것 !! python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.dlllist --pid 2096 > dlllist_2096.log windows.dumpfiles : 파일을 덤프할 수 있는 명령어 (--pid)--virtaddre 옵션 - 해당 가상 주소에 위치하는 ..
![]()
volaltility 에서는 config.json 저장해두고, 다음 호출 때에는 설정 정보를 이용해 더 빠르게 분석하는 것이 가능!! windows.pslist : 프로세스 목록 출력 PS C:\mem> python Z:\Tools\volatility3\vol.py -c config.json -f Z:\Tools\volatility3\Challenge.raw windows.pslist > pslist.log PID / PPID : 프세세스 ID 및 부모의 프로세스 IDImageFileName : 프로세스 이름 CreateTime : 프로세스 생성 시간 windows.psscan - pslist가 더 빠르지만, 악성코드에 의한 조작에 취약 - pslist에서는 표시되지 않는 프로세스가 psscan에서..
Chrome , 삼성인터넷, safari... 디지털 포렌식 분야에서는 가능한 많은 브라우저 아티팩트를 알고 있는 것이 유리하다. 심지어 범죄 행위, 데이터 은닉이 빈번하게 발생하기 때문에 사생활 보호가 강조되는 Brave, opera 등의 웹 브라우저 아티팩트도 종종 분석할 일이 생김 !! Chromium 프로젝트 : (구글) 오픈 소스 웹 브라우저 프로젝트 웹 브라우저 아티팩트 🌐 주요 브라우저 아티팩트 5가지아티팩트설명예시 위치 (Chrome)방문 기록사용자가 접속한 웹사이트 URL과 시간 기록History DB캐시웹사이트에서 불러온 이미지, JS 파일 등 저장Cache 폴더쿠키세션 정보, 로그인 상태 등 저장Cookies DB저장된 비밀번호로그인 시 저장된 계정 정보 (암호화됨)Logi..
![]()
access.log : 서버 처리하는 모든 요청을 기록 error.log : 서버가 요청을 처리하는 도중 발생한 MaridDB는 SQL 쿼리만 이해 가능 (recent)10.0.2.2 클라이언트의 ip주소[09/Apr/2025:21:38:24 +0900]접속 요청 시간"POST /login_check.php HTTP/1.1"1) 요청 메서드 2) 요청 페이지 3) 프로토콜 및 버전500응답 상태 코드389응답 바이트 크기"http://localhost:8080/login.php"이전 페이지 url"Mozilla ...........클라이언트의 브라우저 정보 (user-agent) error.log 분석 - SQUl injection 을 수행하는 ip,pw 를 입력해 에러를 유발 id: guest..
![]()
레지스트리 하이브 : 레지스트리 파일들. 여러 레지스트리 파일들을 모아 마치 하나의 레지스트리 데이터베이스인 것처럼 보여준다. 레지스트리에는 5개의 루트 키가 존재한다.HKCU / HKLM 내에 주요한 사용자 데이터가 많이 저장된다. - 5개의 루트 키는 독립적이지 않음. ex) HKCU는 모든 사용자 정보를 담고 있는 HKU의 하위 키로 존재함- HKCC는 HKLM 과 완전히 동일하지는 않지만, 대부분의 데이터 유사레지스트리 수집 방법 레지스트리는 시스템 파일이기 때문에, 시스템 동작 시에는 복사해올 수 없다. dirty 상태 (사용 중이던 레지스트리가 정리되지 않은 상태로 시스템에 복사된 상태) 아직 쓰여지지 않은 데이터가 존재하고, 이런 데이터들이 LOG1, LOG2 파일에 남아 있다. 따라서..
