본문 바로가기

분류 전체보기

(97)

디지털증거 Writer : KUSTI 해당 자료는 구글링을 통해 만들어 졌습니다. 디지털증거 INDEX 디지털증거 전문이란? 전문원칙, 전문증거배제의 원칙 디지털 증거에 대한 법적 해석 증거능력을 보장하기 위한 특성 chain of custody Frye, Daubert 디지털 증거 정의 : 컴퓨터와 같은 정보기기에서 내장된 디지털 자료를 근거삼아 그 장치를 매개체로 발행한 어떤 행위의 사실관계를 규명 및 증명하는 기술 현재는 Network, DB, RAM등 다양한 곳에 증거자료가 있어 전문성이 더욱 심화됨 Disk, System, Network, Mobile, DB, Crypto 수사 흐름 검색대상 최소, White List 응용 RDS 온라인 원격 증가자료 수집, 디지털포렌식은 증거자료가 주목적이기에 무결성이 ..

Windows Artifacts - Open Save MRU Open / Save MRU Writer : KUSTI OS : Windows 10 Tools : x 사전정보 HKEY CLASS ROOT : 파일 연관성과 COM정보 HKEY CURRENT USER : 현재 시스템에 로그인된 사용자 정보 HKEY LOCAL MACHINE : 시스템 하드웨어 및 소프트웨어 정보 HKEY USERS : 모든사용자 정보 HKEY CURRENT CONFIG : 시스템 시작시 사용되는 하드웨어 정보 MRU : Most Recently Used 특징 Windows 탐색기 공용 대화상자를 통해 최근에 열거나 저장한 파일정보 저장 Web Browser, Applications를 통해 열거나 저장한 파일정보 저장 파일 확장자 별로 그룹화 Windows Vista전에는 OpenSaveM..

2023 DEBUGCTF 제작 시작 보호되어 있는 글입니다.

GoogleCTF 2022 Appnote.txt GoogleCTF 2022 Appnote.txt OS : Windows 10 dump.zip 파일 안에 hello.txt파일이 있음을 확인할 수 있다. 해당 파일 안에는 "There's more to it than meets the eye..." 라고 써져있었다. hello.txt파일을 HxD로 분석해보았지만 특이점은 찾지 못하였다. dump.zip 파일을 분석해보기로 하였다. HxD로 확인했을때 안에 hello.txt파일 하나만 있는것 치곤 의심스러운 데이터 양이 확인되었다. 또한 hi.txt를 발견하였는데 안에는 "Find a needle in the haystack" 라고 써져 있었다. flag00~flag18에서 abcdefghijklmnopqrstuvwxyzCTF{0137}_ 을 발견할 수 있었..

Windows Artifacts - ShellBags 윈도우 아티팩트 Shellbags Writer : KUSTI 환경 : Windows 10 도구 : x 디지털 포렌식 관점에서의 의미 사용자가 특정 폴더에 접근한 시간 정보 확인 사용자가 특정 폴더에 관해 덮어쓰기, 삭제에 대한 증거 수집 Shellbags 레지스트리 Bags : 창 크기, 위치 및 보기보드와 같은 보기 기본설정 저장 BagsMRU : 유사한 트리구조를 생성하여 폴더 이름과 레코드 폴더 저장경로를 저장 주요 레지스트리 키 MRUListEX : 최근 접근한 파일을 나열하는 레지스트리 키이다. 앞에서 부터 순서대로 가장 마지막에 열었던 폴더를 의미한다. 해당 키에 들어있는 값은 NodeSlot의 값을 가진다. NodeSlot : Bags의 하위키의 이름을 갖고 있다. NodeSlots : 고정..

Windows Artifacts - .LNK 파일구조와 윈도우 응용프로그램 로그표현 목록 OS Windows 10 Used Tools IE01Analyzer, 010Editor Site https://www.epochconverter.com .LNK확장자 파일은 Windows shortcut file이라고 부른다. 윈도우 시스템에서 사용하는 파일에 대한 링크파일이다. 쉽게 말해 바로가기이며 사용자 지정 위치에 생성된다. .LNK파일이 위치한 곳은 다음과 같다. 기본 시작메뉴 관리자 라이브러리 사용자 시작메뉴 C:\Users\KUSTI\AppData\Roaming\Microsoft\Windows\Start Menu 최근문서 C:\Users\KUSTI\AppData\Roaming\Microsoft\Windows\Recent 사용자별 바탕화면 Sendto 메뉴 링크 C:\Users\KUSTI\Ap..

일상속의 포렌식 - 발표자료

grrcon2015 1,2,3 쓰던 .md에서 긁어온거라 뭔가 이상함 조만간 공부 혹은 forensic 카테고리에 이번글 쓰면서 공부한것 올릴예정 Volatility 사용 문제풀이 CTF-d Memory-grrcon 2015 1,2,3 Writer Kusti 환경 Windows 10, Ubuntu 16.04 Using Tool, Site volatility, Virustotal 기타 1. Window 환경에서의 volatility 명령어는 volatility_2.6_win64_standalone.exe로 시작한다. 2. Linux환경에서의 volatility 명령어는 vol.py로 시작한다. 3. Flag값은 넣지 않았다. I. Target 에서 E-mail adress 찾기 1. imageinfo를 통해 Target file의 정보..

이전 1 2 3 4 5 6 7 ··· 13 다음

티스토리툴바