잡다한IT

- 운영체제, 사용자, 그룹 등 기본 시스템 정보 확인 - 시스템에 등록된 컴퓨터 이름 확인 - 마지막 종료 시간 확인 ■ HKLM\SOFT\WARE\Microsoft\WindowsNT\CurrentVersion - 시스템 기본정보 - ProductName: 운영체제 이름 - Owner: 사용자 이름 - Organization: 조직 이름 - Productld: 운영체제 식별자 - BuildLab(Ex): 운영체제 세부 버전 - InstallData: 운영체제 설치 날짜(유닉스 시간 형식) - SystemRoot: 운영체제 설치 루트 ■ HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName - 시스템에 등록된 컴퓨터 이름 ■ HKLM\SYS..

■ 데이터 인코딩 - 데이터 인코딩이란 이진파일의 정보를 가시적인 텍스트로 표현하는 방식 - 숫자, 문자, 시간 등의 데이터는 다양한 인코딩 알고리즘에 따라 특수한 형태의 데이터로 변환 종류 Character 집합 활용(예) unencoding A~Z 0~9 !"#$%&'()*+,-./;:? @￦]^_ 유닉스에서 바이너리 파일을 이메일로 전송 Base 64 A~Z a~z 0~9 +/ 이미지, 파일 첨부한 이메일 전송 Base 85 A~Z a~u 0~9 !"#$%&'()*+,-./;:? @[￦^_’{|}~ Adobe PDF 내의 데이터 저장 URL encoding A~Z a~u 0~9 ”$-_.+!*’(),″ URL에 아스키코드 외의 문자가 포함된 경우 uuencoding 알고리즘 방식은 3byte를 4개..

■ Time Information Expressions(시간 정보 표현) - 디지털 포렌식에서 시간정보는 매우 중요한 정보이다. 따라서 HEX값이 어떤 구조를 가지는지 어떤 종류의 시간 정보 표현이 존재하는지 알아보도록 하자. * GMT(Greenwich Mean Time, 그리니치 표준시): - 영국 런던 외각 쪽에 위치한 그리니치 천문대를 기준으로 한 기준이 되는 태양 시 - 그리니치 천문대를 기준으로 한 이유는 경도 0도에 위치해 있고, 남중 자오선을 태양이 정확히 지나는 시점을 정오라고 지정할 수 있기 때문이다. - 각각의 나라마다 존재하는 경도에 맞춰서 GMT라는 태양시를 변동하여 사용하고 있다. - 우리나라 경우 동경 127도 표준 자오선을 가지고 있지만 시간은 동경 135도인 일본 표준시인 ..

1. 디지털 데이터의 구성단위 - 디지털 데이터는 0과 1로 이루어진 이지수를 기본적으로 사용한다. 0 또는 1로 이루어지는 하나의 최소단위를 비트(bit)라고 하며, 8bit를 byte라고 한다. 데이터는 물리적 단위와 논리적 구분된다. 물리적 단위는 컴퓨터에 물리적으로 저장되는 단위를 의미하고, 각 물리적 단위, 이름, 크기는 아래와 같다. 단위 설명 및 크기 bit - bit는 binary digit의 약자 - 데이터 구성의 최소 단위 - 0과 1로 이루어짐 quarter 1/4 byte 2 bit nibble 1/2 byte 4 bit byte 1byte 8bit word 2byte 16bit double word 4byte 32bit quad word 8byte 64bit Kilobyte(KB)..

레지스트리는 헤더와 여러 개의 hive bind으로 구성되어 있다. 논리적인 할당 단위 블록 크기 4096byte로 일정하게 구성되어 있다. - 레지스트리 헤더 레지스트리 헤더 또는 하이브 헤더 라고 한다. 시그니처, 갱신 순서 번호, 마지막 수정시간, 레지스트리 복구에 관한 정보, 하이브 포맷 버전 번호 등의 정보가 있다. 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 0x00 Signature “regf” Sequence Num1 Sequence Num2 Timestamp 0x10 Major Version Minor Version Unknown 0x20 Unknown Start of Root Cell Start of last hbin Always 1 0x30 H..

- REGA는 고려대 DFRC에서 만든 웹 히스토리를 분석하는 툴이다. DFRC 사이트에서 REGA를 쉽게 다운로드할 수 있다. 압축 형식이기에 풀어서 설치 필요 없이 바로 사용하면 된다. Homepage: http://forensic.korea.ac.kr/tools.html http://forensic.korea.ac.kr/tools.html forensic.korea.ac.kr * 수집방법 - REGA를 처음 실행하면 흑색의 빈화면과 상단에 메뉴바가 나온다. - [파일] - [레지스트리 파일 수집] - [현재 시스템 레지스트리 수집] 경로로 "클릭" - [폴더 찾아보기] 가 나오면 새 폴더 만들기를 "클릭"하여 새 폴더를 [REGA] - [폴더]를 지정하여 확인을 "클릭" - 폴더명은 각자 하고 싶은..

디지털 포렌식에서 매우 중요한 역할을 하고 있는 해시(hash)는 무엇이고, 이에 따른 디지털 포렌식에서 하는 역할이 뭘까? 해시(hash)란? - 해시 함수에 데이터를 넣었을 때 나오는 결과 값을 해시값, 해시, 해시 코드 등으로 불리게 된다. 해시 함수는 임의의 길이의 데이터를 고정된 길의 데이터로 매핑하는 함수이다. 쉽게 말해서 어떤 데이터를 넣어도 해시 함수의 종류에 따라 정해진 길이의 결과 값으로 반환되는 함수이다. 해시(hash)의 종류 - MD5, SHA1, SHA256, SHA512등 많은 종류가 있다. * MD5: MD5 해시는 항상 128bit의 결과 값을 반환한다. 하지만 실제 출력되는 값을 확인하면 32char으로 출력된다. 128bit = 16byte인데 32char가 나오는 이유..

- Sector 디스크는 I/O(Input/Output) 명령을 받으면, 1 sector 단위로 I/O 한다. 즉, 물리적으로 디스크가 I/O 하는 단위, 따라서 실제로 디스크에 I/O 하게 되는 최소 크기는 1 sector이다. 1 sector = 512 byte - Cluster 운영체제에서 디스크에 접근하기 위해 사용하는 파일시스템에서 I/O 하는 단위. 파일시스템에서는 I/O횟수를 줄이기 위해 sector 단위로 관리하지 않고 sector들을 묶어 cluster로 관리한다. 따라서 파일시스템에서 I/O 명령을 내리는 최소 단위는 1 cluster 된다. 파일시스템에 따라 다르지만, 보통 8 sector를 1 cluster = 4KB - Slack 파일의 실제 크기와 디스크 최소 I/O크기, 파일시..

Microsoft에서 제공하는 office outlook program - File Path: C:\Program Files\Micresoft Office\Office10\OUTLOOK.EXE - Production company: Microsoft Corporation - Homepage: www.microsoft.com Microsoft – 클라우드, 컴퓨터, 앱 및 게임 가정용 또는 비즈니스용 Microsoft 제품 및 서비스를 살펴보세요. Surface, Microsoft 365, Xbox, Windows, Azure 등을 쇼핑하세요. 다운로드 항목을 찾고 지원을 받으세요. www.microsoft.com - File information: 마이크로소프트에서 제공하는 오피스 아웃룩 응용프로그램

- 메모리 포렌식 도구로서 오픈소스 이다 - CLI(command-line interface)로서 version 3까지 공개되어 있으나, 현재는 ver 2를 많이 사용하는 편이다. * Volatility 명령어 - imageinfo: 메모리 덤프의 운영체제 식별 - pslist: process 시간대 별로 출력 - psscan: 숨겨진 process 출력 - pstree: PID, PPID 기준으로 구조화되어 출력 - psxview: pslist, psscan을 포한함 결과를 한거번에 출력하여 볼 수 있음. - netscan(network analytics) * windows 7이상 ** TCP, UDP / IPv4, IPv6 *** socket information(listening, establish..