목록winhex (3)
훈훈훈
1. 개요 이번 실습에서는 윈도우 운영체제 아티팩트 중 바로가기 파일 분석을 하려고한다.실습 대상 파일인 .Ink 확장자 파일을 수집하여 분석을 진행하였다. 2. 바로가기(.Ink) 파일 바로가기 파일은 윈도우 운영체제에만 존재하며 응용프로그램, 디렉터리, 파일 등 객체를 참조한다.이 파일은 .Ink 확장자를 가지며 오직 GUI 에서만 동작한다. 리눅스 운영체제에서는 이와 비슷한 기능으로 심볼릭 링크가 존재한다. 3. 바로가기(.Ink) 파일 분석과정 1) 분석환경 Windows 7 64bit 이미지 파일을 이용하여 실습을 진행하였다. 해당 이미지는 RAT에 감염된 파일이고 피 파일은 K-Shield Jr 분석대응 과정 강의에서 제공되었다. 2) 분석도구 - WinHex 19 Portable - UFTL..
1. 개요 이번 실습에서는 윈도우 운영체제 아티팩트 중 웹 아티팩트 분석을 하려고한다. 분석 대상으로는 웹 브라우저 캐시, 히스토리, 다운로드 목록 3가지를 선정하였다. 2. 웹 아티팩트 웹 브라우저에서 사용자 행위로 인해 웹 애플리케이션과 웹 브라우저가 통신하면서 생긴 흔적을 발견할 수 있다.예를 들어 용의자PC인 경우 범행 동기, 계획, 내용 등을 확인할 수 있고 피해자PC인 경우 악성코드 유입 경로등을 알 수 있다.웹 브라우저 캐시는 웹 사이트 방문 시 추후 로딩 속도 향상을 위해 사이트로부터 자동으로 다운받은 컨텐츠이다.웹 히스토리는 웹 사이트 방문 시 웹 사이트 정보를 월/일로 분류하여 저장한다. 웹 다운로드 목록은 사용자가 다운로드 한 파일로 사용자 의도와 관련 없이 다운되는 캐시와 구분된다...
본 게시글은 http://forensic-proof.com 블로그를 참고하여 작성된 글 입니다. 1. 비활성 데이터란 ? 비활성 데이터는 현재 데이터의 변동이 없는 데이터이다. 따라서 기기의 on & off 에 영향을 받지 않는다.비활성 데이터 분석은 주로 기기의 저장매체를 이미징을 한 후 하는게 일반적이다.하지만 최근에 대용량 저장매체가 보편화되면서 이미징의 시간 또한 증가하게 되었다.따라서 이미징을 한 후 분석하는것은 효율성이 많이 떨어진다고 볼 수 있다. 그래서 라이브 포렌식 시 활성 데이터를 수집하는 동시에비활성 데이터 수집도 같이 진행을 한다. 2. 비활성 데이터 종류- $MFT (파일시스템 메타데이터)- $Logfile, $UsnJrnl:$J (파일시스템 로그)- 웹 아티팩트 (웹 브라우저 캐..