Digital Forensics
1.[F_active]디지털 포렌식 개론
디지털 증거를 수집·분석 또는 보관하거나 현출하는데 필요한 기술 또는 절차 (대검찰청 예규 제3조)디지털 포렌식은 "기술" 만을 의미하지 않는다.. 디지털 증거를 수집 및 분석하기 위해 필요한 법률, 법률의 해석 및 적용, 그를 위해 필요한 절차적인 부분이 모두 디지털
2.[F_active]디지털 증거와 법률
디지털 증거 관련 법률의 발전은 판례를 통해 이루어졌다. 대표적인 판례와 주요 내용은 다음과 같다.제106조(압수) ① 법원은 필요한 때에는 피고사건과 관계가 있다고 인정할 수 있는 것에 한정하여 증거물 또는 몰수할 것으로 사료하는 물건을 압수할 수 있다. 단, 법률에
3.[F_active]DFC 2019 - Detect Fileless Malware
DFC 2019, IR250은 '2017 Symantec's ISTR report'를 바탕으로 fileless malware에 대해 공부하고, 실습한 내용을 보고서 형식으로 제출하라는 문제였다. 이 포스팅에서는 해당 report와 문제에서 제시한 4개의 카테고리를 바탕
4.[F_active]Shellbag 구조 분석
Windows에서 폴더/Desktop에 대한view preference를 저장하기 위한 것으로, 폴더의 속성, 하위 아이템의 타입(폴더/파일), 접근 순서, MAC timestamp, 아이콘의 위치, 정렬 방법, 분류 기준, 윈도우 사이즈" 등등 사용자에게 보여지는
5.침해사고 분석 방법(윈도우, 안드로이드)
(계속 추가중)마운트FTK Imager 사용 → 파일 추출하여 호스트에서 분석VMWare 사용 → USB를 통해 툴킷 넣어서 설치 후 로컬에서 분석메모리 분석메모리 덤프 파일 필요, 없을 때에는 덤프 (Dumpit 사용)Volatility 이용해서 분석(Version
6.KISA_2010_침해사고분석절차
“사고 조사”와 관련된 기술적인 부분만 보고서로부터 부분 발췌 및 정리함.Windows 분석과 관련된 부분만 정리함.호스트 기반 정보, 네트워크 기반 정보, (그 밖의) 일반적인 정보로 크게 분류.호스트 기반 정보1) 휘발성 데이터를 우선 수집한 후, 2) 포렌식 이미
7.Volatility plugin 세부 내용 비교(pslist, psscan, pstree, psxview) (cmdscan, consoles, cmdline) (netscan, socket, connections)
Volatility의 플러그인, 다양한 기능이 있는데 그 기능에 대해 세부 내용까지 자세히 설명한 곳이 많지는 않다.pslist, psscan, pstree, psxviewpslistpslist는 "시간 순"으로 나열한다.따라서 악성 프로세스의 선후 관계를 파악하는 데
8.디지털포렌식 도구 정리
SUA 멘토링 "기초부터 따라하는 디지털포렌식" 0주차 과제에 대한 내용이다.B: 포렌식 분석을 위한 최선의 도구 모음과 환경 설정에 대해 고민해보고, 정리해서 보고서 제출. (도구 종류 및 정리, 단축키, 환경 변수 등)디지털 포렌식 수행 과정을 보았을 때, 각 과정
9.포렌식 정보 라이브러리
포렌식에서의 CheetSheet과 같은 정보들을 모아놓는 게시글내가 직접 정리한 도구 모음ForensicArtifacts: Antivirus, Docker, Hadoop, MacOS 등등 모든 아티팩트가 다 정리되어 있는 보물창고Windows Artifacts: Win
10.Volatility Cridex 문제풀이
SUA 2주차 B과제 & 3주차 A과제 관련 Volatility Wiki 페이지에서 제공하고 있는 Cridex 이미지에 대한 분석 1. 기초 분석 1.1. 운영체제 식별 imageinfo 플러그인을 이용하였고, 메모리덤프의 운영체제는 WinXPSP2x86 로 추정된
11.Windows Registry에서 로그인 방식 알아내기
Cellebrite CTF 2022에서 찾은 내용.SOFTWARE 하이브 내부의 "ROOT\\Microsoft\\Windows\\CurrentVersion\\Authentication\\LogonUI"를 보면, 아래와 같이 LastLoggedOnProvider 값을 찾
12.Windows 10/11 레지스트리로 판단하기
Windows 11을 분석할 때에, 거의 대부분이 Windows 10과 유사하다보니 디스크 이미지만으로 Windows 11 여부를 판별하기 쉽지 않다. 특히 systeminfo 명령어를 사용해서 볼 때에도 Windows 11에서 Build 관련 속성이 Windows 1
13.디지털 포렌식 전문가 2급 합격 후기 (요약집 공유)
제가 최근에 디지털포렌식 전문가 2급 시험에 합격하였는데,공부하면서 정말 많은 내용을 느끼고 배워서 정리하고자 이렇게 포스팅을 남깁니다.(게시글 하단에 핵심요약집 샘플을 공유하고 있습니다!)최근 디지털포렌식에 대한 관심이 계속해서 증가하면서 국내 유일의 디지털포렌식 국
14.Magnet CTF 2022 iOS Writeup
2022년 Magnet에서 출제한 CTFiOS 15 이미지에 대한 분석 문제제공 이미지: GrayShift 도구를 이용한 추출 이미지문제 리스트How many items were on Patrick’s shopping list?What was the last posit
15.Unfurl: URL 포렌식
unfurl 이라는 유명한 프로젝트가 있다.링크는 https://dfir.blog/unfurl/ 이고, URL만 넣어도 알아서 분석을 마쳐준다.그 중에서도 오늘은 Unfurl > google > timestamp 를 알려주는 parameter 2개를 분석할 예
16.Forensic Analysis of Wire Messenger in Windows OS
Introduction Wire messenger is secure messenger similar to Signal and Telegram. It has been downloaded over 1 million in Google Playstore, and support
17.[강의자료] 암호화 기반 안티-포렌식 보안 메신저 분석 방법론
2023년 7월 30일, BoB 포렌식 트랙에서 진행했던 강의자료입니다.