모해요

https://www.inflearn.com/course/%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D [무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런 www.inflearn.com 섹션3. MUICache 개념 및 실습 ~ ThumbnailCache & IconCache 개념 및 실습 MUICache Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 ex) 7zip이라는 프로그램을 여러 국가에 배포할 때 여러 언어를 제공하기 위해서 MUI 파일들을..

01. $MFT $~~: 시스템 파일 MFT(Master File Table) NTFS 파일시스템(Windows가 쓰는 파일시스템)에서 파일, 디렉터리를 관리하기 위한 구조 하나의 파일 당 하나의 MFT 엔트리를 가짐 $MFT란 MFT 엔트리들의 집합 MFT 엔트리 파일의 이름, 생성.수정.변경시간, 크기, 속성 등을 가지고 있음 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 $MFT Practice FTK Imager 이용 ㄴ> [root] \$MFT 추출 MFT Explorer 다운로드 http://ericzimmerman.github.io/#!index.md Eric Zimmerman's tools ericzimmerman.github.io FTK Imager에서 Logical Dri..

https://www.inflearn.com/course/%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D [무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런 www.inflearn.com 섹션3. Windows 포렌식 개요&Registry 개요 ~ Windows Registry 실습(2) Windows Artifacts Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는..

volatility? : 메모리 포렌식 도구, 오픈소스, CLI 인터페이스(계속 키보드로 명령어 입력했던 방식) cf.마우스로 클릭? => GUI 인터페이스 버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용(안정성 이슈, 구할 수 있는 자료가 버전 2에서 좀더 많아서 사용하기 편리) volatility에서 증거를 획득할수 있는 이유 프로세스가 마음대로 사용하는 공간이 메모리. 규칙적으로 사용하기도 하고 불규칙적인 구조로 사용하기도 함. 규칙적인 구조체가 메모리내에 존재할경우 volatility가 그 부분을 잘라서 가져옴. 하지만 그래도 volatility가 모든내용을 다 가져 올 수는 없음. volatility로 획득할수 있는 정보는 전문가마다 천차만별. 잘하는 사람은 더 많은 정보를 얻어내기도 ..

https://github.com/proneer/Slides/blob/master/Fundamentals/(FP)%20%EB%A9%94%EB%AA%A8%EB%A6%AC%20%ED%8F%AC%EB%A0%8C%EC%8B%9D%20(Memory%20Forensics).pdf GitHub - proneer/Slides: Slides Slides. Contribute to proneer/Slides development by creating an account on GitHub. github.com 물리 메모리의 이해 메모리 포렌식 목적 -프로세스의 행위 탐지 -네트워크 연결 정보 -사용자 행위 -복호화, 언패킹, 디코딩된 데이터 -패스워드와 암호 키 획득 메모리 포렌식의 대상 -물리메모리 -페이지 파일 -하이버..

2주차에는 메모리 포렌식 강의를 진행하였다. 먼저 volatility를 설치했다. volatility는 메모리관련한 데이터를 수집하는 도구이다. volatility cridex 풀이를 진행하여 보겠다. 제일 먼저 cridex 파일에서 cridex.vmem 파일을 imageinfo 한다. imageinfo란 메모리의 운영체제를 식별하는 것이다. 즉 메모리 덤프를 보고 volatiility가 "이건 어떤 운영체제의 메모리 덤프다"를 판단하는 것이다. imageinfo가 필요한 이유는 어떤 운영체제인지에 대한 값이 앞으로의 모든 분석에서 사용될 것이기 때문에 모든 분석에 앞서 imageinfo를 통해 꼭 어떤 운영체제의 메모리인지 찾아야 한다. 그 다음으로 pslist, psscan, pstree, psxvi..

디지털 포렌식 : 정보기기에 내장된 디지털 자료를 근거로 삼아 어떤 행위의 사실 관계를 규명하고 증명하는 신규 보안서비스 분야 법과학(=포렌식) : 과학적 범죄 수사 방법 컴퓨터 범죄(=사이버 범죄) :컴퓨터, 통신, 인터넷 등을 악용하여 사이버 공간에서 행하는 범죄(디도스, 해킹, 랜섬웨어...) 포렌식의 필요성 :컴퓨터 범죄 이외에도 일반 범죄에서도 주요한 단서가 될 수 있다. 디지털 포렌식의 유형 -침해사고 대응: 실시간, 사태파악 및 수습, 엄격한 입증이 필요x -증거 추출: 사후 조사, 범죄 증거 수집, 업격한 입증이 필요o 디지털 포렌식 하는 대상 디스크 포렌식: 컴퓨터 디스크(C드라이브, D드라이브 ...) 메모리 포렌식: 컴퓨터 메모리(RAM) 네트워크 포렌식: 네트워크 패킷, 네트워크 장..