앞으로는 시간이 될 때마다 디지털 포렌식 아티팩트를 항목 별로 정리해 공개할 예정입니다.


본 블로그를 통해 공개되는 자료는 케이스 분석과 실험을 통해 검증된 데이터입니다.


혹시나 잘못된 데이터가 있거나, 추가할만한 데이터가 있다면 언제든 연락 바랍니다.

이번에 공개할 자료는 "윈도우 운영체제에서 장치 연결 흔적과 관련된 아티팩트" 입니다. 


현재 인터넷에 공개되어 있는 데이터는 대부분 레지스트리 아티팩트만 정리되어 있고, 최신 운영체제를 반영하지 못하고 있어 사고 분석 시 일부만 참고할 수 있습니다. 


그래서 본 자료에는 레지스트리와 이벤트로그, 그리고 분석 시 참고할만한 사항을 코멘트로 달아뒀습니다.


사고 분석 시 많은 도움이 되었으면 좋겠습니다.


파일 공개는 회사 블로그로 대체합니다.


http://blog.plainbit.co.kr/archives/2048


'[+] Forensic' 카테고리의 다른 글

Forensic CheatSheet  (2) 2018.05.28
About Volume Serial Number  (0) 2018.05.17
[Techno2017] Conference 0-1 Day  (0) 2017.06.06
[F-INSIGHT] Deep in the artifacts #1  (3) 2017.03.10
파이썬으로 파일시스템 깊이 있게 분석하기 -2-  (0) 2015.07.05
  1. 으쌰 2018.05.30 17:39 신고

    안녕하세요. 블로그 포스트 흥미 있고 해서 앞으로도 자주 들일 예정입니다. 그리고 저의 목표에 거름이 되어주시길 간곡히 부탁드립니다. 포렌식 쪽 관심이 있어서 공부하는 법을 찾아보고 있는데 학원 홍보글 밖에 안보이더라구요.. 꿈은 디지털 포렌식 수사관 입니다. 혹시 디포쪽 공부하려면 무엇을 해야할지 선생님의 커리큘럼을 따라가려합니다
    일단 학원은 부딪혀봐야 안다고 해서 독학으로 했다가 힘들면 등록 예정입니다 지금 c언어 독학중입니다. 시스템보안 쪽은 언어 하나 정도면 충분하다고 하고 그 다음 뭘 해야될지 ... 선생님의 공부법을 알려주시면 감사드리겠습니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2018.06.14 23:36 신고

      음.. 일단 컴퓨터 공부부터 하시는게 좋을 듯 싶고 그런 다음에는 차근차근 포렌식 서적들을 보시는게 좋을 듯 싶네요.

For.MD에서 배포하는 기술문서입니다.


해당 문서는 윈도우 메모리에서 로그온 계정 정보를 추출하는 방법을 위주로 설명되어 있습니다.


문서에서 언급하는 방법은 메모리 분석 도구인 볼라틸리티 플러그인으로 제작되었으며, 문서에 다운로드 URL이 포함되어 있습니다.


플러그인은 결론에서 언급한 여러가지 연구 방향을 진행하여 여러 기능을 추가한 후 다듬어 정식 플러그인을 등록 할 예정 입니다. :)


재밌게 봐주세요 ^^


[목차]

1. 서론

2. 윈도우 인증 패키지

3. 라이브 상태에서 윈도우 로그온 패스워드 추출

4. 메모리 덤프에서 윈도우 로그온 패스워드 추출

5. Volatility Plugin - logon

6. 결론





[For.MD]Windows Logon Password.pdf


+ Recent posts