728x90 디지털 포렌식16 디지털 포렌식 - 이미지와 압축 파일(zip)을 결합하는 간단한 스테가노그래피 사전 준비 상대방을 속일 이미지와 숨기고 싶은 파일을 압축한 zip을 준비한다. cmd 창을 열어 "copy /B 이미지+압축파일 출력이름"을 입력한다. (/B는 이진 파일 옵션이다.) 출력된 결과(output.zip)는 일반 이미지와 똑같아 보인다. 더블 클릭을 하면 이미지 뷰도 정상적으로 불러온다. 하지만 원본과 비교하면 용량이 훨씬 증가한 것을 알 수 있다. 여기서 잠깐 확장자를 .zip으로 변경하면 파일 아이콘이 깨져 보이지만 더블 클릭을 하면 압축 프로그램이 마찬가지로 정상적으로 열린다. 풀기도 가능하고 파일 콘텐츠도 그대로 압축 해제가 가능하다. 다음은 image.jpg와 output.zip의 시작과 중간 쪽의 바이너리가 일치하는 것을 확인할 수 있다. 이미지 뷰어 프로그램은 이렇게 파일의 시.. 2023. 8. 10. 디지털 포렌식 - PowerShell 명령어 기록 저장 경로(ConsoleHost_history.txt) 로그 파일 경로 $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt 참고로 powershell -c 명령어 같은 라인 실행 명령어는 기록이 안 되는 것으로 보인다. 출처: https://www.reddit.com/r/computerforensics/comments/gqjhhw/does_windows_log_the_cmd_history/ r/computerforensics on Reddit: Does windows log the cmd histo.. 2023. 5. 12. 디지털 포렌식 - 휴대폰, 컴퓨터 저장 장치를 복구 불가능하게 만드는 방법 휴대폰 1. 공장 초기화 2. 영어 대소문자 + 숫자 + 특수문자 비밀번호 암호화 12자리 이상 3. 휴대폰 재부팅 혹은 종료 - 휴대폰에 삽입했던 SD 카드는 밑의 방법을 따른다. 컴퓨터(HDD, SDD, SD 카드) 0. BitLocker 암호화 1. 윈도우 자체 기능인 "빠른 포맷" 사용 2. 로우 포맷 3번 이상(혹은 cipher 명령어 사용 "cipher /w:드라이브명:" ) 3. 강자석으로 하드디스크의 자성을 망가트린다. 4. 드릴로 디스크를 물리적으로 파괴 참고: https://syki66.github.io/blog/2020/08/10/make-disk-irrecoverable.html 저장장치에서 포렌식으로도 복구 불가능하게 파일 및 폴더 완전 삭제하기 - syki66 blog 일반적인 .. 2022. 9. 16. 디지털 포렌식 - USB 접속 기록 확인 장치 관리자 장치 관리자 - 보기(V) - 숨겨진 장치 표시(W) 디스크 드라이브 - 우클릭 속성(R) - 자세히 - 마지막 제거 날짜 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR -확인가능 정보 : USB의 Unique Instance 및 USBSTOR의 Subkey를 분석할 경우 이미 해당 시스템에서 사용하거나 사용했던 USB 장치를 확인 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB -확인가능 정보 : USBSTOR에서 확인한 USB의 Unique Instance를 찾으면 USB의 제조사 아이디(VID)와 제품ID(PID) 확인 가능 HKEY_LOCAL_MACHINE\SOFTWARE\Mi.. 2022. 9. 12. 이전 1 2 다음 728x90
HackLog
