분류 전체보기 썸네일형 리스트형 [정리] 로컬시스템 시간 변경 흔적(Local System Time Change Artifact) 안티 포렌식에서 가장 간단하게 할 수 있는 것 중 하나가 시간 변경이다. 운영체제의 시간을 변경하여 두면 이후에 일어나는 일들의 시간이 시스템 시간에 맞춰지기 때문에 추후에 타임라인 분석등을 진행 했을 때 분석에 어려움을 겪을 수 있다. 이번 글에서는 사용자가 운영체제에서 지원하는 기능으로 시간을 변경 했을 때 어떤 흔적들이 남는지 카테고리 분류별로 알아볼 예정이다. 해당 글에서 정한 카테고리는 프리패치, 이벤트로그, 레지스트리, 파일시스템 로그 총 4가지 분류이며, 각각의 카테고리별로 Windows XP와 Windows 7을 중심으로 컨트롤 패널 기능과 명령 프롬프트 기능을 이용했을 때 남는 흔적들을 정리 해 보도록 하겠다. 1. Prefetch 1) Windows XPWindows XP의 경우 시작표.. 더보기 APT(Advanced Persistent Threat) incident response with Event Log 우리나라는 한글과 컴퓨터 회사에서 만든 한컴오피스를 공공기관부터 시작 해 일반 사용자들까지 굉장히 많이 쓰고 있어, 공격자들에게 공격 타겟으로 많이 설정되어 공격을 당하곤 한다. 한컴 오피스에서 특히 '한컴오피스 한글'은 많은 해커들에게 공격 타겟이 되곤 하는데, 얼마전부터는 특정 대상을 공격하는데도 '한컴오피스 한글'의 제로데이 취약점이 이용되기도 하였다. 해당 글에서는 윈도우에서 지원하는 로깅인 이벤트 로그에서 APT 공격 또는 악성코드 공격에 해당하는 이벤트 로그를 살펴볼까 한다.본글에서 이루어진 작업들은 모두 Windows 7 32bit Enterprise, 한컴오피스 한글 2010에서 진행되었으면, 공격에 사용 된 샘플은 실제로 배포 되었던 '북한방송 주요논조.hwp' 파일로 진행 하였다. 해당.. 더보기 [정리] NTFS FileTime 변화 표 NTFS에는 M(Modified), A(Accessed), C(Created), E($MFT Entry Record Update Time)이 있습니다. 파일의 이동과 복사 등의 많은 상황에 따라 시간 값이 변화 되는 특징을 정리 해 보았습니다. 외워두면 편하겠지만, 외워야 할 경우들이 많아서 참고 시 참고용도로 보시면 좋을 것 같습니다. 더보기 For-MD 사이트 오픈 디지털 포렌식을 전문적으로 다루는 홈페이지를 오픈하였습니다. 앞으로 만들어진 서비스나 도구등은 모두 해당 홈페이지에서 공개 될 예정이고, 포스팅 또한 해당 블로그와 동시에 공개 될 예정입니다. 티스토리에서 제공 할 수 없는 서비스와 도구 등은 모두 For-MD 홈페이지에서 공개 될 계획이니 앞으로 많이 이용 해 주시기 바랍니다 :-) 특히 챌린지 페이지는 전 세계 디지털 포렌식 문제를 모아 정리한 페이지 입니다. 꾸준히 페이지 관리를 해서 지속적으로 문제를 추가할 예정이니 디지털 포렌식을 공부하고자 하시는 분들은 많이 이용하셨으면 좋겠습니다 ^^ http://for-md.org 더보기 CodeGate 2014 Forensic 150 Write up 이번 코드게이트에는 포렌식 분야가 없을 줄 알았는데, 한 문제가 출제 되었다는 것을 보고 잠깐 풀어 보았다. 역시 점수가 150점이어서 그런지 문제는 상당히 간단하였다. 문제는 역시 확장자가 제거 되어 있는 상태로 풀이자에게 주어진다. 해당 파일이 어떤 파일인지 보기 위해 file 명령으로 확인 해 보면 다음과 같이 data 파일이라고만 알려준다. 조금 더 정확히 알아보기 위해 헤더를 살펴보도록 하자. Dumpcap 이란 문자열로 해당 파일은 패킷 캡쳐 파일이라는 것을 알 수 있다. 해당 파일은 분석하기 위해 와이어 샤크로 열어보면 다음과 같이 패킷 블록과 관련 된 오류를 출력하며 파일이 정상적으로 열리지 않는다. 오류에서 EPB 부분에 패킷 데이터 길이가 블록의 총 길이보다 크다고 하니 헥스 에디터로 .. 더보기 이전 1 2 3 4 5 6 7 8 ··· 148 다음
