N0cT1s41

AVI 개요AVI(Audio Video Interleave)는 Microsoft에 의해 1992년 발표된 동영상 컨테이너 포맷입니다. RIFF(Resource Interchange File Format)를 기반으로 하며, 오디오와 비디오 데이터를 하나의 파일에 동기화하여 저장할 수 있습니다. 다양한 코덱을 지원하며, 사용자가 원하는 압축 방식을 선택하여 비디오와 오디오 데이터를 저장할 수 있는 유연성을 제공합니다.AVI 컨테이너 포맷 특징AVI는 초기 멀티미디어 파일 포맷으로 높은 호환성과 단순한 구조 덕분에 편집 및 재생이 매우 용이합니다. AVI는 여러개의 list가 존재하고 각각의 list 안에 여러개의 chunk로 구성되어 존재합니다. RIFF 헤더 구조위치이름크기(Byte)설명0x00groupI..

1. Everything 프로그램이란?Everything은 Windows에서 파일 및 폴더를 빠르게 검색할 수 있도록 도와주는 무료 검색 도구입니다. 기본적으로 인덱싱을 통해 파일 시스템을 실시간으로 반영하며, 다양한 검색 연산자를 활용하여 특정 파일을 손쉽게 찾을 수 있습니다.디지털 포렌식에서 Everything은 삭제된 파일을 찾거나, 특정 기간 동안 변경된 파일을 추적하는 데 유용하게 사용될 수 있습니다. 특히, 특정 날짜에 생성되거나 수정된 파일을 검색하는 기능은 침해 사고 분석(Incident Response) 과정에서 필수적입니다.2. Everything의 주요 검색 연산자Everything에서는 다양한 검색 연산자를 활용할 수 있으며, 포렌식 분석에서 가장 중요한 기능은 파일의 생성 날짜(d..

2025.02.24 - [Forensic/File System] - EXT4 파일 시스템 파일 삭제 원리 EXT4 파일 시스템 파일 삭제 원리1. ext4 파일 시스템 개요ext4 파일 시스템은 리눅스에서 널리 사용되는 파일 시스템으로, ext3의 개선된 버전입니다. ext4는 파일을 저장할 때 전체 파티션을 여러 개의 블록 그룹(block group)으로 나누infosec-noh.tistory.com해당 글을 먼저 보고오시는것을 추천합니다.  이번 과정은 Kali Linux 환경에서 진행되었으며, 사용한 도구는 다음과 같습니다.사용 툴Linux: fls, istat, e2fsck, extundeleteWindows: HxD 먼저 fls 명령어를 사용해 삭제된 파일 목록을 확인합니다.fls는 EXT4 파..

해당 문제는 CyberDefenders의 Szechuan Sauce Lab 문제에 대한 풀이입니다.1. Case Overview: Your bedroom door bursts open, shattering your pleasant dreams. Your mad scientist of a boss begins dragging you out of bed by the ankle. He simultaneously explains between belches that the FBI contacted him. They found his recently-developed Szechuan sauce recipe on the dark web. As you careen past the door frame you are a..

Windows 11은 Windows 10의 기반 위에 여러 기능을 개선하고 새로운 요소를 도입하였습니다. 특히, 디지털 포렌식 관점에서 주목할 만한 아티팩트의 추가와 제거가 있었습니다. 이번 글에서는 Windows 10과 Windows 11에서의 아티팩트 변화를 상세하게 살펴보겠습니다.1. Windows 11에서 추가된 아티팩트1.1 PcaAppLaunch 및 PcaGeneralDbWindows 11에서는 새로운 응용 프로그램 실행 기록 아티팩트인 PcaAppLaunch.txt와 PcaGeneralDb0.txt가 추가되었습니다. 이 두 파일은 **PCA (Program Compatibility Assistant, 프로그램 호환성 도우미)**의 일부로, 사용자가 실행한 프로그램의 기록을 남기고 호환성 문제..

1. 아티팩트란?윈도우 운영체제에서는 사용자의 활동을 기록하고 관리하기 위해 다양한 아티팩트(Artifacts)를 저장합니다. 이러한 아티팩트는 사용자가 실행한 프로그램, 열어본 파일, 연결한 USB 장치 등의 정보를 포함하며, 디지털 포렌식에서 중요한 증거로 활용됩니다.이번 블로그에서는 윈도우에서 생성되는 다양한 아티팩트와 그 분석 방법을 설명하고, 포렌식적 관점에서 어떻게 활용할 수 있는지를 살펴보겠습니다. 또한, 각 아티팩트를 분석할 수 있는 도구와 사용법도 함께 소개합니다.2. 윈도우 아티팩트 종류 1). LNK 파일 (바로가기 파일) 1. 개요LNK(Link) 파일은 Windows 운영 체제에서 특정 프로그램을 실행하거나 문서를 열었을 때 자동으로 생성되는 바로가기 파일입니다. 사용자가 직접 "..