[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]https://inf.run/SRMh 해당 강의를 참조하여 적은 내용입니다.  자동 실행을 방지하는 것은 포렌식 대상이 되는 디지털 장치나 미디어에서 악성 프로그램이 자동으로 실행되거나, 원본 데이터가 손상되는 것을 방지하기 위함이다.  1. 자동 실행으로 인해 증거가 변경되거나 손상될 위험이 있다. 2. 악성 코드가 감염될 가능성을 최소화하고, 워너본 데이터의 무결성을 유지하는 것이 중요하다.  윈도우 11 기준 자동실행 방지  "설정" 검색 좌측에 Bluetooth 및 장치  하단에 자동 실행 클릭 후  각 필요에 따라 설정하면 된다.

[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]https://inf.run/SRMh 해당 강의를 참조하여 적은 내용입니다.  포렌식 작업을 할 때 외부 또는 실수를 하여 증거물에 내용이 써지게 되면 무결성이 훼손된다.이러한 과정을 방지하기 위해 쓰기 방지 장비를 이용하거나 프로그램을 사용을 하여야하는데, 학생 신분상 돈이 없어 힘들다.  그래서 레지스트리를 수정하여 쓰기 방지를 작업하고자 한다. 단 해당 글은 USB만 적용된다. 외장 SSD은 적용이 안 된다.처음으로는 Window Key + R를 누른 후 regedit을 실행한다.(또는 검색으로 '레지스트리 편집기') 들어가면 왼쪽에 HKEY들이 있다. 이 키들 중 HKEY_LOCAL_MACHINE..

[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]https://inf.run/SRMh 해당 강의를 참조하여 적은 내용입니다. 데이터 크기의 표현Bit  무결성최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 함무결성이 깨지면 증거능력이 없어지므로, 포렌식의 최종 목적을 이루지 못함추가로 다른 증거들의 증거력을 약화시키는 결과가 나올 수도 있음Hash 값이 동일 해야함(MD5, SHA1 등)증거의 수집 및 분석, 봉인 이송과정이 적번하게 진행되었는지에 대한 증명쓰기방지디지털 증거 수집시 조사대상의 원본매체가 훼손되어 무겨렁이 깨지는 일을 막기 위해 다른 기기와 연결된 원본매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해서 필수적..

난이도: 1 문제 이름: Hacked 일단 문제를 보게되면 해킹을 당했고, 바탕화면에 이상한 파일이 갑자기 막 생긴다고 서술이 되어있다. 그래서 FTK Imager로 바탕화면을 가서 확인을 하게 되면 다음과 같이 나온다. 일단 시간은 24년 5월 1일 16:32분 경이다. 무슨 경로로든 프로그램을 깔아도 실행을 해야한다고 생각을 했다. 그래서 윈도우 이벤트 로그 부분을 덤프해와서 Event Log Explor를 이용하여 PowerShell 이벤트 로그를 살펴본 결과 실행된 스크립트 이름을 확인할 수 있다. (단, 편의성을 위해 문제에서 언급된 것처럼 UTC로 변경) 다음으로 구할 답은 사용자의 마지막 로그오프 시간이다.파워쉘에서 마지막으로 실행된 스크립트를 기준으로 이후 이벤트 로그를 살펴보면 같은 시간..

USN Journal(or NTFS Change Journal)- NTFS File System에서 발생하는 모든 파일 및 디렉터리 변경 사항을 기록하는 시스템 파일이다. - 시스템 장애나 오류가 발생했을 때, 파일 시스템의 무결성을 빠르게 복구를 위해 사용한다.- 변경 사항을 항상 추적함으로써 백업 시스템이나 포렌식 조사에서 유용하게 사용된다.  USN (Update Sequence Number) --> File Reference Number --> Parent File Reference Number --> Timestamp --> Reason (Event) --> File Attributes --> File Name 정보 수집 방법단, 이미지 파일이 있다는 가정에 분석 순서이다.1. OSFMount ..

문제 이름: lolololologfile난이도: 1  문제를 다운하면 Image.E01로 주어진다. FKT Imager로 열어보면 $BOOT에서 NTFS와 $MFT를 확인할 수 있다. 즉, NTFS를 확인 가능하다.또한 삭제 된 seg1 ~ 4까지를 확인 가능하지만, FTK Imager에서는 삭제 파일 복구 기능을 지원 안 한다.그래서 unallocated space(할당되지 않은 공간)으로 이동하였다.  * NTFS 추가설명NTFS에서 파일 삭제 시 1. 해당 파일의 MFT 항목에서 in use 플래그가 0으로 설정(파일이 더 이상 사용되지 않음을 표시)단, 유효하지 않다고 표시이지 MTF 자체는 삭제되지 않음2. 삭제된 파일이 사용하고 있던 클러스터(디스크 공간)는 unallocated space(할..

문제이름: Windows Search난이도: 1 처음에 Windows.edb라는 파일 한개가 주어진다. EDB(Extensible Storage Engine Databases)- ESS(Extensible Storege Engine)로 불리는 데이터베이스 형식에서 사용되는 파일 확장자  EDB 파일을 열기 위해 WinSearchDBAnalyzer.exe 라는 프로그램을 사용한다.파일 경로를 설정 후 Open을 누른다.Time Zone을 UTC+9로 설정해준다.상단의 Search칸에 flag를 적은 후 Search 버튼을 눌러준다.(EnterKey가 안 먹으니 마우스로 직접)해당 파일을 누르게 되면 preview가 보이는데 하단에 DH{}로 플레그 값이 보이는걸 확인가능하다.

리눅스 기준 .vmdk 파일이 주어질 때 - vmware 기준File > New Virtual MachineTypicalI will install the operating system later.맞는 운영체제 선택모를 때는?? > FTK imager, 7-Zip or HxD로 알 수있다고는 함이름 위치 디스크 설정저장 위치 경로로 가서 기존 .vmdk 파일 삭제 후 주어진 .vmdk 파일 넣기가상머신 세팅 > CD/DVD > Use ISO image file에 6번에서 넣은 파일 선택 후 실행Version 확인lsb_release -aKernel Version 확인 uname -r  분석 시 확인해야 할 로그 인증 로그 (/var/log/auth.log 또는 /var/log/secure)설명: 시스템에 ..

2024-07-25 기준 작성!주의루팅을 너무 많이 해서인지 리커버리 모드가 진입이 안되서 ADB를 이용하여 루팅 진행함. ※ 루팅 시 모든 책임은 본인에게 있음.환경 + 도구 Samsung Galaxy S8(SM-G950N)Android 9.0(Pie)Samsung Odin v.3.14.4https://www.osamsung.com/kr/odin/?ver=3.12a최하단이 최신버전, 버전 확인 후 최신 버전으로 다운로드 Samsung USB Drivertwrp-3.7.0_9-0-dreamlte.img.tar https://twrp.me/Devices/ Magisk-v25.0.apkRoot Checkerplatform-tools-latest-windows.zip(adb.exe)초기 설정 소프트웨어 정보에..

VM 관련 확장자1. NVRAM (.nvram)설명: NVRAM 파일은 가상 머신의 비휘발성 메모리 데이터를 저장합니다. 실제로는 BIOS 또는 UEFI 펌웨어 설정을 저장하는 데 사용됩니다.용도: 가상 머신이 부팅될 때 BIOS 설정을 기억하고 유지합니다.2. VMSD (.vmsd)설명: VMSD 파일은 VMware의 스냅샷 관리 데이터를 포함합니다. 스냅샷의 메타데이터를 저장하는 데 사용됩니다.용도: 가상 머신의 스냅샷을 관리하고 스냅샷 간의 관계를 추적합니다.3. VMX (.vmx)설명: VMX 파일은 VMware 가상 머신의 구성 파일입니다. 가상 머신의 하드웨어 설정, 네트워크 설정, 디스크 설정 등을 정의합니다.용도: 가상 머신의 설정과 구성 정보를 저장합니다.4. VMXF (.vmxf)설명:..