앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다.


본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다.


혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.

이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 


현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 


그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다.


사고 분석 시 많은 도움이 되었으면 좋겠습니다.


파일 공개는 회사 블로그로 대체합니다.


http://blog.plainbit.co.kr/archives/2048


'[+] Forensic' 카테고리의 다른 글

DPAPI DECRYPTION WITHOUT USER PASSWORD  (0) 2018.11.13
[Challenge] dfChallenge 소개  (2) 2018.08.16
Forensic CheatSheet  (4) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
  1. 으쌰 2018.05.30 17:39 신고

    안녕하세요. 블로그 포스트 흥미 있고 해서 앞으로도 자주 들일 예정입니다. 그리고 저의 목표에 거름이 되어주시길 간곡히 부탁드립니다. 포렌식 쪽 관심이 있어서 공부하는 법을 찾아보고 있는데 학원 홍보글 밖에 안보이더라구요.. 꿈은 디지털 포렌식 수사관 입니다. 혹시 디포쪽 공부하려면 무엇을 해야할지 선생님의 커리큘럼을 따라가려합니다
    일단 학원은 부딪혀봐야 안다고 해서 독학으로 했다가 힘들면 등록 예정입니다 지금 c언어 독학중입니다. 시스템보안 쪽은 언어 하나 정도면 충분하다고 하고 그 다음 뭘 해야될지 ... 선생님의 공부법을 알려주시면 감사드리겠습니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.06.14 23:36 신고

      음.. 일단 컴퓨터 공부부터 하시는게 좋을 듯 싶고 그런 다음에는 차근차근 포렌식 서적들을 보시는게 좋을 듯 싶네요.

  2. Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2018.08.09 16:09 신고

    올만에 인사드리네요~ 플레인 비트에 계세요??? ㅎㅎ
    업무는 재미있으신지요?

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.08.16 11:17 신고

      네 아직 플레인비트에 있습니다 ㅎㅎ

      업무는 아직도 재미있네요 :-)

      요즘은 뭐하고 지내시나요?!

/etc/passwd

root : x : 0 : 0 : root : /root :
/bin/bash
 ①   ②  ③  ④    ⑤     ⑥           ⑦


① 사용자 계정을 나타낸다.
② 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 나타낸다.
③ 사용자 번호로 관리자믈 0번이다. 일반 사용자의 경우에는 500번부터 시작된다.
④ 그룹 ID다. 관리자 그룹이므로 0번이다.
⑤ 실제 이름이다. 시스템 설정에 별다른 영향이 없는 설정이다. 자신의 이름을 입력해줘도 된다.
⑥ 사용자의 홈 디렉토리를 설정한다. 관리자므로 홈 디렉토리가 /root 이다. 일반 사용자일 경우에는 /home 디렉토리 하위에 위치한다.
⑦ 사용자의 셸을 정의한다. 기본 설정은 bash 셸이다. 자신이 사용하는 셸을 이곳에 정의해주면 된다.









cat /etc/shadow

rootFidpsd$df 1234 : 099997 : _ : _ : _
 ①         ②          ③    ④    ⑤    ⑥  ⑦ ⑧  ⑨


① 사용자 계정을 나타낸다.
② 암호화된 사용자의 패스워드가 저장된다. 시스템마다 조금씩 다르다. 대부분 MD5 형식으로 저장 된다.
③ 1970년 1월 1일부터 계산하여 마지막으로 패스워드를 바꾼 날까지의 값이다.
④ 패스워드를 바꾸기 전에 패스워드를 사용한 기간이다. 최초로 설정한 후 바꾸지 않았으므로 0이다.
⑤ 패스워드를 바꾸지 않고 최대한 사용할 수 있는 기간이다. 이 값은 보안 정책에 따라 바뀔 수 있다. 보통 패스워드의 최대 사용기간은 60일.
⑥ 패스워드 최대 사용 기간에 가까워질 경우 사용자에게 미리 그 사실을 알려야 하며, 여기에 패스워드 사용기한 며칠전에 경고를 보낼 것인지 지정한다.
⑦ 계정에 대한 사용 제한을 설정한 다음 며칠후에 완전히 사용 정지되게 할 것인지를 설정한다.
⑧ 게정이 완전히 사용 정지된 기간을 1970년 1월 1일 부터 계산한 값이 기록된다.
⑨ 관리자가 임의로 사용할 수 있는 부분이다.



참고 : shadow 파일이 없고 passwd 파일에 암호가 저장되어 있다면 시스템 계정 보안정책이 거의 적용되지 않은 상태.(pwconv 명령어를 실행하면 shadow 파일인증 구조로 바뀜.)

'[+] Information > [-] System' 카테고리의 다른 글

CPU 레지스터 설명  (2) 2009.09.27
운영체제별 passwd, shadow 파일 위치.  (0) 2009.09.11
리눅스/유닉스 인증 관련 메모.  (0) 2009.09.11
Window 기본 프로세스 설명.  (2) 2009.09.11
Metasploit 기술 문서  (0) 2009.02.27
우분투를 쓰려고 하시는데 못쓰겠다 하시는 분들이 있어서 올려요~

한글 문서입니다 ^^




'[+] Information > [-] System' 카테고리의 다른 글

리눅스/유닉스 인증 관련 메모.  (0) 2009.09.11
Window 기본 프로세스 설명.  (2) 2009.09.11
Metasploit 기술 문서  (0) 2009.02.27
우분투 길라잡이  (0) 2009.02.27
해킹에 사용할 수 있는 MSSQL200 명령어.  (0) 2009.02.27

+ Recent posts