N0cT1s41

해당 포스트에는 Windows Forensic에서의 브라우저 아티팩트에 대한 개념 간단한 실습 내용을 담고 있습니다.1. Web Browser인터넷을 이용하기 위해 실행되는 응용 프로그램브라우저를 통해 하는 일들웹 검색로그인파일 다운로드영상 시청 Web Browser ArtifactsHistory: 방문한 URL, 방문 횟수, 방문 시각 등Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등Cookie: 사용자 데이터, 자동 로그인 등Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등Tools브라우저별 경로Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Edge: %UserPro..

해당 포스트는 Windows 포렌식에서의 Prefetch, MUICache에 대한 이론적인 부분에 대한 내용입니다.1. Prefetch응용 프로그램의 빠른 실행을 위해서 존재하는 파일응용프로그램을 실행할 때에 생성실행 파일 이름, 경로실행 파일의 실행 횟수실행 파일의 마지막 실행 시간실행 파일의 최초 실행 시간Prefetch 경로%SystemRoot%\PrefetchWinPrefetchView를 이용하여 분석할 것이다.winprefetch를 실행시키면 알아서 컴퓨터에 프리패치들을 불러온다.하지만 이렇게 불러온 프리패치들은 무결성이 훼손될 수 있다는 단점이 있다.그렇기에 프리패치를 하나하나씩 불러오는 것이 무결성 훼손을 방지할 수 있다.프리패치를 클릭해보면 경로, 생성일자, 수정일자, 실행횟수 등의 정보가..

1. 기술 관점의 프레임워크디지털 포렌식 분야에서 기술 관점의 프레임워크들은 확장성있는 플랫폼을 제공하고자 하는 목적으로 개발되고 있다.VolatilityVolatility는 오픈 소스 메모리 포렌식 프레임워크이다.Volatility의 특징은 메모리 덤프 파일을 입력 받는다.덤프파일이란, 컴퓨터가 겨져있는 상태에서 RAM에 저장되어 있는 비트 스트림을 복사한 파일을 의미한다.즉, 실행 중인 컴퓨터의 RAM을 곧바로 분석하는 것이 아니라 우선 RAM에 일시적으로 저장되어있는 모든 디지털 데이터로 파일을 복제한 후, 해당 파일을 분석하는 방식Volatility는 각종 플러그인을 통해 메모리 덤프 파일에 저장되어 있는 다양한 정보를 사용자에게 가시화해준다.플러그인에는 Volatility 재단이 직접 제공하는 ..

해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..

1. 디지털 데이터의 특성 일반 증거와는 다르게 디지털 증거만의 독특한 증거 수집, 보존을 위한 절차가 필요하다. 형사소송법 상 증거능력을 부여하기 위한 요건이 존재하는데 이는 디지털 데이터의 특성에 기인 아래 표는 디지털 데이터의 특성과 그로인한 쟁점들을 정리한 것이다. 디지털 데이터 특성 특성 설명 관련 쟁점 비가시성 디지털 데이터는 육안으로 확인이 불가능하다. 전문성, 신뢰성 휘발성 내 외부 영향의 의해 쉽게 사라질 수 있다 진전성, 무결성 복제 용이성 디지털 데이터는 복제가 쉽고 원본과 사본의 구분이 불가능하다. 원본성, 압수방법(이미징) 변조 가능성 위변조 및 삭제가 용이함 진정성, 무결성 대규모성 하나의 물리적 매체에도 다수의 디지털 자료가 저장되어 있다. 압수 방법(선별 압수) 초국경성 디지..

1. 컴퓨터 구성 요소 (1) 하드웨어 컴퓨터의 하드웨어에는 중앙처리장치, 기억장치, 입출력장치, 버스가 있다. cpu는 컴퓨터 시스템 전체를 제어하고 기억,해석,연산 기능을 관할한다. 기억장치 는 프로그램 및 프로그램 수행을 위한 데이터를 젖장하는 장치를 의미 기억장치의 종류는 cpu 내의 레지스터, 캐시기억장치, 주기억장치, 보조기억장치가 있다. 각 기억장치는 가격, 속도, 용량, 접근시간 등이 차이가 나므로 서로 상호보완을 위해 메모리를 계층적으로 구성하여 사용하며 위 사진과 같이 메모리 계층 구조라 한다. 입력장치는 컴퓨터에서 처리할 데이터와 정보를 외부에서 입력할 수 있게 하는 장치를 의미하며 마우스, 키보드, 스캐너, 조이스틱, 터치 스크린 등이 있다. 출력장치는 컴퓨터 내부에서 처리된 결과를..