로그 분석 & 포렌식 (9) 썸네일형 리스트형 안티포렌식_문서포렌식_damaged_image 위 16진수 값 메모장에 적고 Hxd에 붙여넣기 bmp로 확장자 변경 다른 이름 저장 확인 안티포렌식_문서포렌식_stegano_LSB 43 4D로 bmp 파일 확인 내려가다 보면 수상한거 발견 8개씩 끊어서 계산 FE = 0 / FF = 1 안티포렌식_문서포렌식_test.rtf 메모장에 복사 > \' > 공백으로 전부 바꾸기 \'를 지운 파일 > { } , { } 위 글자 전부 지우고 16 진수만 넣기 > 앞에 00 지우기 HxD에 삽입 헤더가 png이기 때문에 png로 다른 이름 저장 전부 삭제 00 지우고 앞에 헤더 완성 ( 00이 있으면 그림 안나옴 ) 확인 안티 포렌식_문서포렌식_Findkey 워드 파일처럼 보이지만 zip 파일 안티 포렌식_그림찾기 헤더 ( 모든 데이터마다 헤더가 존재한다 ) JPEG = FF DB FF E0 ~ FF DB FF E8 GIF 47 49 46 38 37 61 ~ 47 49 46 39 61 1. HxD 파일 > 새로 만들기 > 그림 드래그 해서 옮기기 상위가 헤더 부분 아래 그림 헤더 정보를 참조하여 "sevas6.jpg" 가 맞는지 확인 전혀 다름오히려 PNG에 가까움 수상한 그림 확인 openstego를 사용하여 숨겨진 파일 찾기 # openstego는 자바 최신 버전 설치 필요 네이버에 자바 설치로 최신 버전 수동 설치 진 Extract Data Input Stego File > 수상한 파일 Output Folder for Message File > 수상한 파일에서 찾아낸 숨겨진 파일 출력할 곳 선택 후 .. 포렌식_profile 문제 판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다.용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간 (UTC+09:00)을 알아내시오. IE10Analzer 설치 위 그림처럼 IE10Analyzer가 설치된 컴퓨터에 인터넷 접속 기록을 볼수 있다 윈도우 레지스트리 분석 Rega 사용 검증 완료 부분 전부다 체크 해주기문제 1. 시스템 사용자의 이름은 무엇입니까 ? 2. 컴퓨터 이름은 무엇입니까?3. 기존 타임존 포멧은 무엇입니까?4. 탐색기에서 검색한 단어는 무엇입니까?5. 기본 IP는 무엇입니까?6. 기본 DNS서버는 무엇입니까?7. 운영체제가 설치된 날짜는 언제입니까 ? (UTC)8. 기본 브라우저는 무엇입니까? (HKLM\SOFTWARE\class\웹서버)9. 브라우저의 메인페이지는 무엇입니까? (HKUL\NTUSER)10. 나타샤가 인터넷에서 타이핑한 사이트는 무엇입니까? (TypedURL)1. 시스템 사용자의 이름은 무엇입니까 ?사용자활동 정보 > 사용자 계정 정보Administrator, guest는 기본 계정 따라서 시스템 사용자 이름 : Natasha2.. 윈도우 포렌식 0. 윈도우 포렌식 윈도우 포렌식전세계 70% 운영체제로서 사용자가 시스템을 사용하면서 남는 아티팩트를 분석하여 파일 유출,불법다운,문서저장/작성,저장매체 연결 흔적과 같은 흔적을 분석1. 레지스트리 분석 **레지스트리 분석**시스템정보 사용자의 다양한 정보 확인가능최근 열람한 문서파일목록 실행파일목록 시스템 정보 설치흔적2. regedit ( 레지스트리 편집기 )레지스트리 편집기에서 최근 접근키와 즐겨찾기 항목 및 스크립트 파일 열람 확인등 임의 조작 여부등을 판단 - HKEY_CLASSES_ROOT : 파일연관성과 COM 정보- HKEY_CURRENT_USER : 현재 시스템 로그인 된 사용자 정보 - HKEY_LOCAL_MACHINE : 시스템의 하드웨어/소프트웨어 정보 - HKEY_USERS .. 이전 1 2 다음
