분류 전체보기 7

[디지털포렌식] 스테가노그래피 분석

1. 스테가노그래피란?데이터 은닉 기술 중 하나로, 정상 파일 내 숨기고자 하는 데이터를 삽입하는 기술을 말한다.사진에 특정 내용을 숨기는 것 뿐만 아니라 오디오 파일 등 다양한 형식의 파일들을 이용할 수 있다.2. 스테가노그래피 분석 툴binwalk리눅스 운영체제에서 사용 가능한 스테가노그래피 분석 툴이다.위 사진을 따라 터미널에 sudo apt-get install binwalk 커맨드를 입력해 설치해줄 수 있다.https://github.com/ReFirmLabs/binwalk GitHub - ReFirmLabs/binwalk: Firmware Analysis ToolFirmware Analysis Tool. Contribute to ReFirmLabs/binwalk development by cr..

디지털포렌식 2024.12.05

[디지털포렌식] NTFS Log Tracker 사용법

이번 게시물에서는 파일 시스템의 로그와 로그 분석을 위한 NTFS Log Tracker 툴의 사용법에 관해 알아보자.1. Filesystem Log, 파일 시스템 로그란?로그란 변경사항을 추적하거나 기록하기 위해 파일 시스템에서 생성하는 것으로, IO 파일, transaction, 수정 등의 내용을 포함하고 있다. 운영체제가 직접 수행하는 것이 아니라 파일 시스템 자체에서 생성하는 것이다.2. NTFS Log란?마이크로소프트에서 개발한 파일시스템인 New Technology File System에서 생성한 로그로 크게 Transaction 로그와 Change 로그로 나눌 수 있다. - Transaction Log커밋되지 않은 transaction을 롤백하기 위한 메타데이터 변경 사항 기록하는 것이다. 시..

디지털포렌식 2024.11.25

[디지털포렌식] Jumplist(점프리스트)와 Jumplist Explorer 사용법

Windows 아티팩트 중 하나인 Jump List(점프리스트)와 이를 분석하기 위한 툴인 Jumplist Explorer의 사용법에 대해 알아보자.1. Jump List(점프리스트)란?사용자가 최근에 엑세스한 항목이나 자주 액세스한 항목을 관리하기 위한 작업 표시줄 기능이다. 윈도우 7 이상 버전에서 아티팩트로 저장된다.점프리스트 파일들은 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\ 경로에 위치하며 AutomaticDestinations와 CustomDestinations으로 나누어진다.- AutomaticDestinationsWindows가 관리하는 점프리스트 파일들이다.OS에 의해 자동으로 기록되며, 이를 통해 최근 혹은 자주 사용한 항목들의 ..

디지털포렌식 2024.11.11

[디지털포렌식] Thumbnail Cache(썸네일 캐시), Icon Cache(아이콘 캐시)와 Thumbcache Viewer 사용법

이번에는 Windows 아티팩트 중 썸네일 아티팩트인 Thumbnail Cache 썸네일 캐시와 분석 툴 중 하나인 Thumbcache Viewer 사용법에 대해 알아보자.1. Thumbnail Cache란?Windows에는 JPG, BMP, PNG, AVI, MP4, PDF, PPTX, DOCX 등 다양한 파일 형식의 썸네일이 저장되어 있다. 이러한 문서, 이미지 및 비디오의 썸네일을 위한 중앙 집중식 저장소를 썸네일 캐시라고 하며 이를 통해 탐색기에서 미리보기 기능을 제공하는 등 미리보기에 더 빠르게 엑세스 할 수 있다.썸네일 캐시는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로에 .db 확장자로 저장되어 있으며 각 파일들은 여러 개의 BMP,..

디지털포렌식 2024.10.12

[디지털포렌식] 웹 아티팩트 분석 BrowsingHistoryView, Hindsight 사용법

앞서 Windows artifact 중 이벤트 로그와 프리페치 파일에 대해 알아보았는데, 사용자가 사파리, 크롬, 엣지, 파이어폭스 등의 웹 브라우저를 이용할 때에도 마찬가지로 Web artifact가 발생한다. 이러한 웹 아티팩트에 대해 알아보고 이를 분석할 수 있는 툴인 BrowsingHistoryView와 Hindsight의 사용법에 대해 알아보자.1. Web artifact란?웹 아티팩트란 웹 어플리케이션과 웹 브라우저가 통신하면서 생긴 흔적으로 웹 이용에 관련된 모든 데이터를 의미한다. 웹 브라우저의 쿠키나 히스토리, 다운로드한 내용, 캐시 등을 모두 포함하며 웹 브라우저나 서버에 저장된다. 사용자의 웹 사용 패턴을 파악하는데 도움이 되기 때문에 다양하게 이용 가능하다. 2. Web artifa..

디지털포렌식 2024.10.12

[디지털포렌식] Windows Prefetch와 PECmd, WinPrefetchView 사용법

Winodws는 가상 메모리를 운영할 때 한정된 리소스를 여러 프로세스에서 공유한다. 이때 이를 효율적으로 이용하기 위해서 Prefetch, 프리페치를 이용한다.1. Prefetch(프리페치)란?사용자가 어떤 실행을 할 때 리소스가 로딩되는 시간을 줄이기 위해 도입된 메모리 관리 정책이다. 즉, 어플리케이션 시작 및 실행의 속도를 높이기 위해 설계된 것으로 프로그램이 실행될 때 필요한 파일들을 메모리에 미리 업로드 해둔다. 각 실행 파일의 프리페치 파일들은 DLL과 같은 리소스 정보들이 포함되어 있다. 프리페치 파일의 경로는 C:\Windows\Prefetch로 .pf의 확장자를 갖는다.프리페치 파일의 이름은 [executable filename]-[Prefetch-hash(filepath)].pf 형식..

디지털포렌식 2024.10.12

[디지털포렌식] Windows 이벤트 로그와 EvtxECmd 사용법

1. 이벤트 로그란?Windows artifact 중 하나로 시스템 활동이 기록되어 있는 로그를 말한다. 운영체제와 앱은 로그를 기록함으로써 소프트웨어 및 하드웨어에서 발생한 중요한 이벤트들을 효과적으로 저장할 수 있다. 이벤트 로그에 저장되어 있는 기록들은 아래와 같은 내용들을 담고 있다.시스템 부팅/다운 기록로그인/로그아웃 기록네트워크 연결 추적스토리지 디바이스 사용 내역시스템 시간 변경 이벤트OS 및 앱에서의 경고 및 알림 등이벤트 로그의 분석은 시스템 및 애플리케이션에서의 이상 징후를 식별하거나 사고 발생 이후 관련 악성 활동의 흔적 분석 및 사용자 행동 분석에 이용 될 수 있다. 이 중 핵심적인 역할을 하며 가장 잘 알려진 것에는 Security, System, Application 이벤트 로그..

디지털포렌식 2024.09.24