Digital Forensic/Network-Forensic Gflow 2018. 2. 5. 13:52
본 포스팅에서는 네트워크 패킷 분석에 대해서 다룹니다. (도구설치와 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 네트워크 패킷 분석을 위한 도구사용법에 대해서 간략히 알아 보도록 하겠습니다.네트워크 구간에서 일어나는 통신의 패킷을 분석하기위한 도구로는 크게2 가지를 많이 사용합니다. 첫번째로는 와이어샤크이며, 그다음 많이 쓰이는 도구로는 네트워크마이너입니다, 우리는 이번 포스팅에서 두 도구의 간단한 사용법에 대해서 알아 볼 것입니다. 도구의 더 많은 기능을 알고 싶으신 분이라면 해당 도구의 배포 사이트에서 메뉴얼을 받아 확인 하기 바랍니다. 1.WireShark무료로 공개되는 패킷 분석 도구입니다. 또한 오픈 도구이면서 패킷분석에 있어서 많은 기능을 제공 하고있습니다.네트워크상에..
Digital Forensic/Memmory-Forensic Gflow 2018. 2. 5. 13:51
본 포스팅에서는 메모리 분석에 대해서 다룹니다. (윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 이어서 Volatility에서 지원하는 유용한 옵션에 대해서 알아 보겠습니다. 1. mftparsermftparser는 메모리 덤프 당시의 mft파일을 추출 해줍니다.(MFT는 NTFS 파일 시스템에서 파일의 메타데이터를 저장 하는 파일입니다.) 커맨드 사용형태는 아래와 같습니다. >vol.py -f [메모리파일] --profile=[운영체제] mftparser(MFT의 내용이 많기 때문에 리다이렉션을 통해 파일로 저장합니다.ex : mftparser >>mft.csv) [그림-1 mftparser] [그림-2 mftparser 출력 결과 csv파일 열람 화면]..