비전공자의 포렌식일기

레지스트리를 배우기 전에 먼저, 윈도우 아티팩트(Windows Artifacts)에 대해서 배워보겠습니다. 윈도우 아티팩트란? Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있습니다. 여기서 아티팩트라는 단어를 잘 모르실 수 있기 때문에 설명을 좀 드리자면, 영어 단어로 인공물이라고 불리지만 컴퓨터에서 아티팩트란 사용자가 시스템을 사용했을 때 생성이 되는 "흔적" 이라고 생각 하시면 됩니다. 간단하게, 사용자가 크롬 브라우저를 클릭했을 때를 떠올려 봅시다. 그럼 크롬 브라우저가 실행이 되고, 검색창에 네이버를 입력하게 되면, 네이버 사이트를 보여주잖아요? 그럼 우리가 크롬 브라우저를 통해서..

A과제 : Volatility 플러그인들을 정리하고, 사용법을 실습해보기(실습은 Cridex 분석으로 하겠습니다 하지만 모든 플러그인에 대해서는 다루지 않을 것이며, 몇몇 분석에 필요한 플러그인만 다루도록 하겠습니다.) 먼저, 메모리 포렌식에 대해서 정의를 해보겠습니다. 메모리 포렌식이란 컴퓨터 구조의 하드웨어에서 주 기억장치인 RAM에 남아있는 데이터 흔적을 분석하는 기법입니다. 우리가 FTK Imager같은 툴로 Memory Capture를 실습했을 때, 나왔던 mem파일이 RAM의 데이터를 덤프한 파일입니다. RAM은 휘발성이 강한데도 불구하고 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등 고유의 정보들이 남아 있습니다. 그 이유는 컴퓨터..

A과제 : 디스크 덤프, 디스크(이미지) 마운트, 메모리 덤프 실습 실습 진행을 위해서 사용한 프로그램 입니다. VHD만들기 [디스크 관리] - [동작] - [VHD 만들기] 를 한 다음 다음과 같이 입력 해주시면 됩니다. 실습을 진행할 가상 디스크는 512MB짜리로 mbr 파티션 스타일로 포맷을 하였고, NTFS 파일 시스템으로 진행을 했습니다. 먼저, 준비한 파일들은 다음과 같습니다. 3장의 jpg 파일을 준비 하였고, 파일을 삭제 하도록 하겠습니다. [디스크 덤프] 디스크를 덤프하기 위해서는 FTK Imager를 실행한 후 다음과 같이 따라 하시면 됩니다. [File] - [Add Evidence Item] - [Physical Drive] - [덤프할 디스크] 저 같은 경우는 PHYSICALDRI..