[정리] 로컬시스템 시간 변경 흔적(Local System Time Change Artifact) 안티 포렌식에서 가장 간단하게 할 수 있는 것 중 하나가 시간 변경이다. 운영체제의 시간을 변경하여 두면 이후에 일어나는 일들의 시간이 시스템 시간에 맞춰지기 때문에 추후에 타임라인 분석등을 진행 했을 때 분석에 어려움을 겪을 수 있다. 이번 글에서는 사용자가 운영체제에서 지원하는 기능으로 시간을 변경 했을 때 어떤 흔적들이 남는지 카테고리 분류별로 알아볼 예정이다. 해당 글에서 정한 카테고리는 프리패치, 이벤트로그, 레지스트리, 파일시스템 로그 총 4가지 분류이며, 각각의 카테고리별로 Windows XP와 Windows 7을 중심으로 컨트롤 패널 기능과 명령 프롬프트 기능을 이용했을 때 남는 흔적들을 정리 해 보도록 하겠다. 1. Prefetch 1) Windows XPWindows XP의 경우 시작표.. 더보기 APT(Advanced Persistent Threat) incident response with Event Log 우리나라는 한글과 컴퓨터 회사에서 만든 한컴오피스를 공공기관부터 시작 해 일반 사용자들까지 굉장히 많이 쓰고 있어, 공격자들에게 공격 타겟으로 많이 설정되어 공격을 당하곤 한다. 한컴 오피스에서 특히 '한컴오피스 한글'은 많은 해커들에게 공격 타겟이 되곤 하는데, 얼마전부터는 특정 대상을 공격하는데도 '한컴오피스 한글'의 제로데이 취약점이 이용되기도 하였다. 해당 글에서는 윈도우에서 지원하는 로깅인 이벤트 로그에서 APT 공격 또는 악성코드 공격에 해당하는 이벤트 로그를 살펴볼까 한다.본글에서 이루어진 작업들은 모두 Windows 7 32bit Enterprise, 한컴오피스 한글 2010에서 진행되었으면, 공격에 사용 된 샘플은 실제로 배포 되었던 '북한방송 주요논조.hwp' 파일로 진행 하였다. 해당.. 더보기 이전 1 ··· 8 9 10 11 12 13 14 ··· 368 다음
