Gflow

2018/04 (3)

Windows Artifact[5] - Thumbnail/IconCache

Digital Forensic/Windows-Forensic Gflow 2018. 4. 12. 09:55

이번 포스팅에서는 썸네일과 아이콘 캐시에 대해서 알아보도록 하겠습니다.---------------------------------------------------------------------------------------------------------------------------------------- 썸네일과 아이콘 캐시는 윈도우 포렌식에 있어서 많은 정보를 제공해줍니다. 윈도우의 기본 기능인 미리보기 기능으로 해당 데이터를 파일에 저장하여 속도 향상에 도움을 줍니다. 미리보기 파일은 뜻하지 않게 증거분석에 많은 정보를 제공하게 됩니다. 사용자가 열어본 파일, 영상 등은 모두 파일의 썸네일 또는 아이콘 캐시에 저장 되기 때문입니다. 특히나 아이콘캐시의 경우 안티포렌식도구 사용 여부를 판별할 ..

Android App Hooking with Frida(2)

Mobile/Android Gflow 2018. 4. 6. 17:58

이번 포스팅에서는지난시간에 이어서 Frida를 사용한 android app hooking에 대하여 다루도록 하겠습니다.(도구 설치와 같은 기초 지식은 다루지 않습니다.) 문제파일은 아래 경로를 통하여 다운받을 수 있습니다.https://github.com/OWASP/owasp-mstg/tree/master/Crackmes 분석환경OS: Windows10Tools: Frida, Frida-server, adb, Python3.6, Genymotion 문제파일(UnCrackable-Level2.apk)을 다운로드하여 설치합니다.[그림 1 apk설치] 앱 설치 후 실행 시 루팅 탐지가 동작하며 ok버튼을 클릭하면 앱이 강제로 종료됩니다.[그림 2 루팅탐지] 루팅탐지는 Level1 문제풀이때 설명하였으니 넘어가..

Windows Artifact[3] - LNK

Digital Forensic/Windows-Forensic Gflow 2018. 4. 5. 09:46

(본 포스팅에서는 기본적인 도구 사용법에서는 다루지 않습니다) 이번 포스팅에서는 LNK파일 분석에 대해서 알보겠습니다.---------------------------------------------------------------------------------------------------------------------------------------- 1. LNK 파일Windows Shortcut Files (MS-ShellLink) 는 윈도우 시스템에서 사용하는 파일에 대한 링크 파일입니다. 특정 실행파일을 간편하게 실행하기 위해 사용자 지정 위치에 링크되며, LNK 확장자를 가집니다.LNK 파일은 사용자가 직접 생성하는 것 이외에도, Windows OS 설치 시 기본적으로 특정 경로에 바탕화..

Copyright © Gflow All Rights Reserved

티스토리툴바