분류 전체보기 썸네일형 리스트형 [정리] 슈퍼패치 활용 윈도우 운영체제에서 실행 파일의 흔적을 알 수 있는 대표적인 흔적으로 프리패치(Prefetch) 파일이 있다. 프리패치 파일을 분석하면 프로그램의 실행 날짜, 실행 횟수, 프로그램 경로 등을 알 수 있는데, 프리패치는 메모리의 한계와 페이징으로 프리패칭 기능의 원래 목적 상실, 운영체제에서 프리패치 파일을 관리하는 정책 상 최대 128개의 프리패치 파일 생성이라는 문제로 인해 빠른 대응과 운이 따라주지 않는다면 프리패치를 통한 실행 프로그램의 정보를 획득하기는 쉽지 않다. 프리패치 파일을 카빙하면 이 부분을 어느정도 해소할 수 있지만 복구라는 것은 상황에 따라 결과물이 다르기 때문에 이를 해결책으로 생각해서는 안된다. 또, 특별한 권한 없이 프리패치 파일에 접근 할 수 있어 많은 악성코드 또는 도구에서 .. 더보기 시간 변화 별 행위 파악 엑셀 시트 참고문서 : http://digital-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp-manipulation/ 위 글에서 나온 시간 변화 별 행위 표를 이용하여 간단하게 체크할 수 있는 엑셀 시트를 만들어 보았다. 사용 법은 엑셀 시트 오른쪽 상단에 적어두었다. 더보기 [정리] Linux Timestamp Change Table 윈도우 NTFS 파일시스템의 타임스탬프 변화 표는 여러 블로그와 홈페이지에 연구되어 포스팅되어 있는 것들을 보았지만, 아직까지 리눅스 배포판에 대한 정리 표가 없는 것 같아 정리를 해 보았다. 리눅스 배포판 중 우선 Ubuntu 배포판을 선택하여 Ext3 파일시스템의 시간 변화에 대하여 조사하였고, 아래와 같이 엑셀 파일로 정리하였다. 혼자 정리했기 때문에 빠진 행위나 부족한 점이 있을지도 모르니 피드백을 보내면 피드백을 수렴하여 현재 배포판의 표 수정과 함께 다음 배포판 변화 표에 추가해 정리하도록 하겠다 더보기 [Write up] Network Forensics Puzzle Contest 22 Network Forensics Puzzle Contest는 매년 열리는 데프콘에서 이벤트성으로 열리는 챌린지이다. 자세한 대회 소개는 다음 글을 읽어보기 바란다. 주소 http://maj3sty.tistory.com/1083 [Round 1]Password : izDEFCONf33ling22?#tSwift - 문제 지문EFCON 2013 Network Forensics Puzzle Contest: From Pyongyang with Love Thank you for accepting the case. Our Russian comrade has indicated that said documents released by Snowden may contain information about a bribery .. 더보기 [Tool] Windows JumpList Analysis Tool 일전에 올렸던 글에서 사용했던 도구를 공개합니다. 파이썬 2.7 버전으로 작성되었고, 필요한 라이브러리는 압축 파일 내부에 소개되어 있습니다. 더보기 이전 1 2 3 4 5 6 ··· 148 다음
