Gflow

Memory Analysis[3]

Digital Forensic/Memmory-Forensic Gflow 2018. 2. 5. 13:51

본 포스팅에서는 메모리 분석에 대해서 다룹니다. (윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 이어서 Volatility에서 지원하는 유용한 옵션에 대해서 알아 보겠습니다. 1. mftparsermftparser는 메모리 덤프 당시의 mft파일을 추출 해줍니다.(MFT는 NTFS 파일 시스템에서 파일의 메타데이터를 저장 하는 파일입니다.) 커맨드 사용형태는 아래와 같습니다. >vol.py -f [메모리파일] --profile=[운영체제] mftparser(MFT의 내용이 많기 때문에 리다이렉션을 통해 파일로 저장합니다.ex : mftparser >>mft.csv) [그림-1 mftparser] [그림-2 mftparser 출력 결과 csv파일 열람 화면]..

Memory Analysis[2]

Digital Forensic/Memmory-Forensic Gflow 2018. 1. 22. 12:43

본 포스팅에서는 메모리 분석에 대해서 다룹니다.(윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 Volatility사용 법에 대해서 알아보도록 하겠습니다. Volatility 도구는 Python기반으로 작성된 오픈소스 도구입니다. 누구나 무료로 다운받아 사용할 수 있습니다. 메모리상에는 많은 정보들이 저장되어 있기 때문에 침해 사고 발생시 메모리 덤프를 확보를 한다면 분석시간을 단축 시킬 수 있습니다. 그렇기 때문에 우리는 이번 본 포스팅에서 Volatility를 이용한 메모리 분석에 대해서 알아 보겠습니다. 1. ImageinfoImageinfo는 메모리에 대한 정보를 불러오는 명령어 입니다. 메모리덤프에 대한 메타데이터 정보를 출력해주는 명령으로써, 덤프..

Memroy Analysis[1]

Digital Forensic/Memmory-Forensic Gflow 2018. 1. 8. 16:21

본 포스팅에서는 메모리 분석에 대해서 다룹니다.(윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 1. 메모리포렌식사용자가 시스템을 사용하면서 메모리상 남는 데이터를 분석 하는 행위를 메모리포렌식 이라고 합니다. 아직 우리나라에서는 법정에서 증거로 채택되지는 않지만 침해사고와 같은 사건사고에서는 많은 정보를 얻을 수 있는 분야입니다. 메모리포렌식을 통해 얻을 수 있는 정보는 프로세스 상태, 네트워크 정보, 메모리에 저장된 파일복구, 디코딩 된 데이터, 사용자 행위 정보등을 얻을 수 있습니다. 이번 포스팅에서는 메모리 덤프 방법과 메모리를 분석하기 위한 분석환경 구성에 대해서 알아 보겠습니다. 1)메모리 덤프우선 메모리 포렌식의 가장 기초가 되는 메모리 덤프 방법에 대해서 알아 ..

Window Web browser-Analysis[3]

Digital Forensic/Windows-Forensic Gflow 2018. 1. 4. 16:20

본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 2. 파이어 폭스파이어폭스는 다양한 플러그인을 제공해주는 넷스케이프사에서 만든 브라우저입니다. IE와 다르게 인터넷 사용 정보를 Sqlite3포맷을 이용한 DB에 정보를 저장합니다. 저장되는 정보는 다음경로에서 확인이 가능합니다. 1) 파이어 폭스에서 얻을 수 있는 정보 [파이어폭스 아티팩트 경로] 2) 분석 방법 파이어폭스 또한 크롬 브라우저와 같이 Sqlite db형태로 파일을 관리합니다. 그렇기 때문에 손쉽게 Sqlite Browser를 통해 분석이 가능합니다. 저장되는 파일 중 가장 중요한 History파일에 대해서 알아 보도록 하겠습니다. 가) places.sqli..

Window Web browser-Analysis[2]

Digital Forensic/Windows-Forensic Gflow 2018. 1. 1. 16:20

본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 웹 브라우저 포렌식 이번 포스팅에서는 크롬 브라우저에 대해서 알아보겠습니다. 앞서 본 포스팅에서 다룬 웹 브라우저의 점유울을 기억하시나요?크롬 브라우저는 앞서 다룬 IE보다 더 높은시장 점유율을 가지고 있습니다. 그렇기 때문에 웹 브라우저 포렌식을 할 경우 빼먹을 수 없는 부분입니다. 2. 구글 크롬 브라우저 구글에서 만든 브라우저로 현재 전 세계 점유율 1위를 기록하고 있는 브라우저입니다. 빠른 속도와 적은CPU점유율로 사용자들로부터 좋은 평가를 얻고 있습니다. 또한 안정성과 효율적인 인터페이스에 중점을 두고 있는 브라우저입니다. 구글의 크롬 브라우저에서 얻을 수 있는 정..

Window Web browser-Analysis[1]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 28. 16:19

본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 웹 브라우저 포렌식 오늘날 사용자는 웹 브라우저를 통해 다양한 정보를 주고 받으며, 사용자가 원하는 정보를 인터넷을 통해 제공 받고 있습니다. 또한 이를 악용하여 범죄와 관련된 정보를 숨기거나, 찾는데 이용하기도 합니다. 웹 브라우저 포렌식은 사용자가 웹 브라우저를이용하여 남기는 아티팩트(흔적)을 분석하는 일련의 과정입니다. 이는 디지털 시대에 따른 인터넷 의존성이 높아졌으며, 사건에따라 사용자(또는 범죄자)에 대한 많은 정보를 획득 가능합니다. 웹 브라우저 포렌식을 통해 얻을수 있는 정보는 자주 방문하는사이트, 다운받은 흔적등 정보들을 확인 가능합니다. 또한 과거에는 IE..

Window Registry-Analysis[5]

Digital Forensic/Windows-Forensic Gflow 2017. 12. 25. 16:19

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 현재 까지 알아본 레지스트리외에 사용자가 사용하면 남는 아티팩트가 레지스트에 어떤 항목들이 추가적으로 저장 되는지 알아보도록 하겠습니다. 1. 알림영역 아이콘 정보 ■ HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify [트레이 아이콘 프로그램 정보] PC를 사용하면서 오른쪽 하단에 나오는 트레이 아이콘 정보를 저장 하고 있습니다. 트레이 아이콘으로 한번이라도 활성화 된 프로그램이라면 정보가 저장됩니다. 특히 안티 포렌식 도구 사용시 트레이 아이콘으로 많이..

Copyright © Gflow All Rights Reserved

티스토리툴바