Forensic (11) 썸네일형 리스트형 Forensic CTF(3) - Find Key(Black) 문제명 : Find Key(Black) 분류 : Multimedia Forensic [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : FTK Imager, ssdeep, Autopsy, Hex Editor , TrueCrypt 7.1a 문제풀이 1) 문제 파일을 FTK Imager를 통해 파일을 열어보자. FTK Imager로 문제파일을 확인해보면 volume/root/Black/B(115).jpg 를 확인할 수 있다. 파일의 내용을 보면 Alternate Data Stream 타입의 black.txt 파일을 확인할 수 있다. ADS(Alternate Data Stream) 는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다. 결론적으로 B(115).jpg 파일에 black.. Forensic CTF(2) - Find Key(docx) 문제명 : Find Key 분류 : MultiMedia Forensic Hint1 : docx 파일을 비교하시오. Hint2 : Extra_Filed_Entry [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : Hex Editor, ooXml, Steganography v4 문제풀이 1) 문제 파일을 열어 확인 파일을 열어 보면 각종 사진들이 있는 것을 알 수 있다. 스테가노그래피 문제에서 흔히 사용되는 확장자 변조를 확인하기 위해서 Hex Editor로 시그니처를 확인해보자. 2) 확장자 변조 확인을 위한 Hex Editor를 이용한 시그니처 확인 시그니처는 [50 4B 03 04] 로 zip 파일의 시그니처와 동일하며, docx는 압축 파일구조를 따르는 문서이다. 그러므로 확.. Forensic CTF(1) - Find Password 문제명 : Find Password 분류 : DiskForensic Hint : ALYSSA 의 계정 Key Format : TEXT [*] 문제풀이 환경 -운영체제 : Windows 10x64 -사용도구 : 반디집, file, pwdump, NTLM 디코더 -문제파일 : forensics.rar 문제풀이 1) 반디집으로 문제파일 압축해제 2) file 명령어로 SAM, SYSTEM 파일의 유형을 확인하자 레지스트리 파일인 것을 확인할 수 있었다. 따라서 레지스트리 파일과 문제의 Hint를 통해 계정 정보에 대해 알아야 한다. ※윈도우 레지스트리 정보 SAM : 윈도우 사용자의 계정 정보와 관리자 비밀번호 등을 저장 SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성 정보 저장 SECURITY : 시.. 레지스트리 포렌식(2) 1.MRU: 가장 최근에 사용된 파일, 프로그램 등에 대한 정보 목록 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\OpneSaveMRU 최근 open 되거나 save 된 파일 목록 기록 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\LastVisitedMRU 최근 실행 프로그램의 파일명과 open/save한 파일이 존재하는 폴더 path 저장 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rRunMRU [시작]->[실행]을 선택하여 실행된 명령어의 목록 저장 HKCU\Software\Microsoft\Search.. 레지스트리 포렌식(1) 1. 레지스트리란? 윈도우 운영체제에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는데 필요한 정보를 저장하는 중앙계층형 데이터베이스이다. 레지스트리를 분석하면 사용자의 프로필 , 설치된 응용프로그램 정보, 프로그램 실행 흔적, 무선네트워크 , USB 연결 흔적등이 남기 때문에 윈도우 포렌식 분약의 주요 아티팩트이다. (1)레지스트리 구조 (2)Hive Key -root key 라고도 하며 하이브 키는 HKEY로 시작한다. -HKEY란 Hive key를 뜻하며 HKLM과 같이 HK로 줄여서 표현되기도 한다. 하이브 키 약자 설명 원본 HKEY_CLASSES_ROOT HKCR 파일 확장자, 응용 프로그램 간 바인딩 정보 등이 저장되어 있다. HKU를 참조 HKEY_CURRE.. 디스크 복구 - 3.20 악성코드 감염 MBR 복구 보호되어 있는 글입니다. 디스크 복구 - 다중 파티션 이해 ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 이번에는 단일 파티션이 아닌 다중 파티션에 대해 알아보자. 파티션 테이블에는 총 4개의 파티션 정보가 저장된다고 했는데 4개가 아닌 여러개일 경우 어떻게 저장되는 걸까? 다중 파티션일 경우 파티션 테이블 관리를 어떻게 할지에 대해서 알아보자. 학습목표 : 다중 파티션의 구조 이해 실습파일 : Ex_Partition.zip > Ex_Partition.001 실습도구 : FTK Imager, HexEditor 실습결과 : 다중 파티션의 구조와 파티션 테이블 이해 파티션 테이블을 확인하는 것은 앞서 정리한 내용과 비슷하지만 문제는 파티션이 4개 이상일 경우이다. 5번째 파티션 정보는 어디에 저장될까? HxD로 확인해보면 마지.. 디스크 복구 - 파티션(NTFS) ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 파티션 복구 하드디스크의 복구 중 가장 기본이 되는 FAT32와 NTFS 포맷의 파티션이 손상되었을 경우 어떻게 복구하는지 실습해보았다. (1) NTFS 파티션 복구 NTFS 파티션이 손상되었을 경우 복구하는 방법을 아래와 같다. 학습목표 : BR 영역이 손상된 파티션 복구 실습파일 : NTFS_Partition.zip > NTFS Partition Revovery.001 실습도구 : FTK Imager, HexEditor 실습결과 : FTK Imager에서 파티션 및 파일 목록 확인 FAT 32 파티션 복구와 차이가 있다면 FAT32와 같이 해당 파티션 정보는 가지고 있으나, 파티션의 시작 부분이 손상된 경우이다. G.. 이전 1 2 다음
