보호되어 있는 글입니다.
보호되어 있는 글입니다.
Shadow Explorer
1. Shadow Explorer란?Shadow Explorer는 Windows의 볼륨 쉐도우 복사본(Volume Shadow Copy, VSS)을 탐색하고 복원할 수 있는 도구입니다. Windows 운영체제는 시스템 보호 기능을 통해 특정 시점의 파일과 폴더를 백업하는데, 이를 볼륨 섀도 복사본이라고 합니다. Shadow Explorer는 이러한 백업 데이터를 쉽게 확인하고 이전 버전의 파일을 복원하는 데 유용하게 활용됩니다.디지털 포렌식 분석에서 Shadow Explorer는 삭제된 파일 복구, 랜섬웨어 감염 분석, 사용자 활동 추적 등 다양한 목적으로 사용될 수 있습니다.2. Shadow Explorer의 주요 기능볼륨 쉐도우 복사본 탐색Windows에서 자동 생성한 볼륨 쉐도우 복사본을 목록으로 ..
Everything
1. Everything 프로그램이란?Everything은 Windows에서 파일 및 폴더를 빠르게 검색할 수 있도록 도와주는 무료 검색 도구입니다. 기본적으로 인덱싱을 통해 파일 시스템을 실시간으로 반영하며, 다양한 검색 연산자를 활용하여 특정 파일을 손쉽게 찾을 수 있습니다.디지털 포렌식에서 Everything은 삭제된 파일을 찾거나, 특정 기간 동안 변경된 파일을 추적하는 데 유용하게 사용될 수 있습니다. 특히, 특정 날짜에 생성되거나 수정된 파일을 검색하는 기능은 침해 사고 분석(Incident Response) 과정에서 필수적입니다.2. Everything의 주요 검색 연산자Everything에서는 다양한 검색 연산자를 활용할 수 있으며, 포렌식 분석에서 가장 중요한 기능은 파일의 생성 날짜(d..
Dreamhack - palm
해당 문제는 Dreamhack의 palm 문제에 대한 풀이입니다. 이번 문제에서는 개발자 PC가 악성 코드에 감염되어 있으며,로그인 시마다 네트워크를 통해 민감한 로그인 정보가 유출되는 상황을 분석해야 한다.악성 코드가 개발자 PC에 침투하여 로그인 시마다 네트워크로 정보 유출침투 방식: 중앙 서버 → 개발자 PC목표: 악성 코드 분석 및 침투에 사용된 파일 탐색Flag 찾기먼저 현재 실행 중인 프로세스를 확인하여,의심스러운 프로세스가 존재하는지 점검했다.특별히 이상한 프로세스는 발견되지 않음.따라서, 네트워크 연결을 분석하는 방식으로 접근하기로 결정했다. 리눅스 환경에서 netstat과 ss 같은 명령어들이 설치되어 있지 않아대신 /proc/net/tcp와 /proc/net/udp 파일을 직접 분석했다..
보호되어 있는 글입니다.