728x90 디지털 포렌식16 디지털 포렌식 - 윈도우 메모장 임시 파일 관련 영상 스크랩 https://vt.tiktok.com/ZSr9sLSqm/ TikTok · TCMSecurity 님좋아요 2593개, 댓글 99개가 있습니다. "Is Notepad really safe for sensitive information? Think again! Even if you don’t save it, Notepad can still reveal more than you’d expect. Watch Andrew Prince demonstrate how this simple tool can becomewww.tiktok.com 2025. 4. 13. 디지털 포렌식 - 파일 삭제, 이동, 위치 추적 (NTFS Log Tracker) $LogFile, $UsnJrnl:$J, $MFT 파일들을 이용해 파일 관련 로그를 분석할 수 있음 https://sites.google.com/site/forensicnote/ntfs-log-tracker blueangel's ForensicNote - NTFS Log TrackerNTFS Log Tracker v1.8sites.google.com 2024. 11. 17. 디지털 포렌식 - ThumbnailCache 분석(Thumbcache Viewer) Thumbcache Viewer 다운로드:https://thumbcacheviewer.github.io/ Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.Thumbcache Viewer Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files found on Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, and Windows 11. The program co.. 2024. 11. 16. 디지털 포렌식 - 증거 수집 파일 및 레지스트리 경로 레지스트리 파일(SAM, SOFTWARE, SYSTEM, SECURITY, NTUSER) 경로 파일 경로: C:\Windows\System32\configC:\users\{사용자명}\NTUSER.DAT 쓰기 방지 레지스트리 경로: HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > StorageDevicePolicies WriteProtect 생성(REG_DWORD) > 값을 1로 설정 연결됐던 USB의 볼륨명, 시리얼넘버, 볼륨 GUID, 마지막 연결 해제 시간, 사용자 계정 정보 등 파일 경로: Windows > inf > Setupapi.dev.log USB Device Class ID(Vener Name + Product Na.. 2024. 11. 13. 디지털 포렌식 - 법이론 요약 디지털 증거의 특징 △ 비가시성△삭제 및 위·변조, 전송이 용이한 취약성△원본과 복사본 구분이 모호한 복제 용이성△대량성△네트워크 관련성증거수집 및 분석 절차 관련 1. 준비단계 사건파악 및 증거물 수집계획 수립2. 현장도착적법한 절차에 따라 증거를 수집했음을 증명하기 위해 전 과정의 사진 및 영상 촬영영장제시(압수수색영장이 발부된 경우)동의서작성(압수수색영장이 발부되지 않은 경우, 관계자에게 증거수집에 대해 설명 후 동의서 서명 받음)현장통제현장 기록3. 증거 수집휘발성 증거 수집 > 비휘발성 증거 수집 > 주변 장치와 기타 기록물 수집원본과 사본의 동일성 및 무결성을 위하여 쓰기방지를 설정하여 읽기 전용 상태로 이미지 생성범행 관련된 자료만 수집하는 '선별수집'이 원칙이지만 곤란한 상황일 경우 정보저.. 2024. 11. 12. 디지털 포렌식 - Jumplist 출처: https://shsh010914.tistory.com/66 Jumplist 개념 및 실습[Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이shsh010914.tistory.com [Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다. 경로는 아래와 같다.%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\Autom.. 2024. 11. 6. 디지털 포렌식 - FAT32 파일시스템 복구 1. MBR 분석 HxD로 .001 이미지 파일을 열어 MBR을 분석함1 - 3 - 1 - 3 - 4 - 4 중 4번째는 Starting LBA Address 즉 BR의 시작 섹터 주소이다.( 0C이므로 파일 시스템은 FAT32임, 0C: FAT32, 07: NTFS/exFAT ) 빅엔디언 0x80000000을 리틀엔디언으로 변환하면 0x00000080이므로 이는 10진수로 128이다. 2. 섹터 이동 HxD 경우 위의 도구메뉴에서 섹터를 입력할 수 있으며 128을 입력해 해당 섹터 위치로 이동한다.정상적인 이미지 파일인 경우 128 섹터에는 값들이 있어야 하지만 훼손이 되어 00으로 밖에 표시가 되어 있지 않는다. ※ FAT32의 BR 다음에는 RRaA(52 52 61 41)이 나오므로 이를 기억하.. 2024. 10. 24. 디지털 포렌식 - 법이론 2 전문법칙 (형소법 제310조의2)(형소법 제311조~제316조) 전문증거형사소송법 제310조의2(전문증거와 증거능력의 제한)제311조 내지 제316조에 규정한 것 이외에는 공판준비 또는 공판기일에서의 진술에 대신하여 진술을 기재한 서류나 공판준비 또는 공판기일 외에서의 타인의 진술을 내용으로 하는 진술은 이를 증거로 할 수 없다. ▶ '전문증거는 전문법칙의 예외를 제외하고는 기본적으로 증거능력이 없다' 전문증거의 예외(증거능력이 있는 경우)형사소송법 제311조(법원 또는 법관의 조서)공판준비 또는 공판기일에 피고인이나 피고인 아닌 자의 진술을 기재한 조서와 법원 또는 법관의 검증의 결과를 기재한 조서는 증거로 할 수 있다. 제184조 및 제211조의2의 규정에 의하여 작성한 조서도 또한 같다. .. 2024. 10. 16. 디지털 포렌식 - 법이론 1 디지털 증거의 특징 무체정보성(=비가시성, 비가독성)육안으로 식별이 불가능한 매체 독립적인 무체물 취약성위·변조 및 삭제가 용이하여 무결성 문제 대두 대량성대량의 데이터가 한 저장매체에 저장되어 있음 네트워크 관련성네트워크를 통해 시간과 공간을 초월하여 저장 및 전송 됨. 디지털 포렌식의 기본원칙 적접절차의 준수수사절차 전반에 거쳐 적용되는 원칙이며, 적법절차에 의하지 않고 수집된 증거는 위법한 증거로서 증거 능력이 제한됨 (형사소송법 제308호의2) 원본증거의 보존증거수집시에는 반드시 쓰기방지장치를 이용하여 증거원본에 대한 무결성을 유지하여야 하며, 증거분석시에는 복사본을 가지고 분석 작업을 수행하여야 함 무결성 확보원본과의 동일성을 해시값 등을 통해 검증해야 하며, 무결성 확보를 위해서는 분석자와.. 2024. 10. 15. 디지털 포렌식 - 텍스트/헥스 에디터 (010 Editor) https://www.sweetscape.com/010editor/ 010 Editor - Pro Text/Hex Editor | Edit 250+ Formats | Fast & Powerful | Reverse Engineering 010 Editor: Pro Text Editor Edit text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code, PHP, etc. Unlimited undo and powerful editing and scripting tools. Huge file support (50 GB+). Column mode editing. Analysis Tools - Drill into your Data A www.sweetsc.. 2023. 11. 3. 디지털 포렌식 - NTFS 파일시스템 BR 복구하기 실습 실습 이미지(NTFS.001) 출처 및 참고: https://blog.naver.com/bitnang/220188735136 [실기]디지털 포렌식 전문가 2급 NTFS 파티션 복구하기(HxD활용)제목 : NTFS파티션 복구하기(HxD 활용) 사용 환경 : HxD, FTK Imager 기본설명 ...blog.naver.com 실습 이미지 파일(NTFS.001) 다운로드 https://drive.google.com/file/d/1ACMQQRLkmnuv2xh99Jr88qejKg6Gv09R/view NTFS.001 drive.google.com 1. 파티션에 대한 이해파티션이란 연속된 저장 공간을 하나 이상의 연속되고 독립된 영역으로 나누어 사용할 수 있도록 정의한 규약이다. B와 C의 큰 차이점은 .. 2023. 10. 23. 디지털 포렌식 - FTK Imager 삭제된 파일 복구하기 및 파일 소거하기 실습 환경 운영체제: Windows 10(가상머신) 복구 파일 대상: owasp-top-10.pdf 사용 도구: FTK Imager 아래와 같이 잘 열리게 되는 pdf 파일이 있다. 우선 이것을 쓰레기통에 버린다. 그다음 파일이 복구가 안되게 휴지통을 비워준다. 이제 FTK Imager를 실행시켜 "Add All Attached Devices"를 눌러 현재 컴퓨터에 연결된 모든 장치들을 불러와준다. 연결된 장치들 중 C:\를 선택하고 "C:\NONAME [NTFS]\root\$Recycle.Bin\" 경로로 이동해서 찾고자 하는 pdf 파일을 탐색한다. 파일을 제거하면 메타 데이터 정보가 삭제되므로 기존의 이름(owasp-top-10.pdf)은 지워졌지만 데이터 부분은 아직 남아 있게 된다. 복구를 위해.. 2023. 9. 24. 이전 1 2 다음 728x90
HackLog
