잡다한IT

- REGA는 고려대 DFRC에서 만든 웹 히스토리를 분석하는 툴이다. DFRC 사이트에서 REGA를 쉽게 다운로드할 수 있다. 압축 형식이기에 풀어서 설치 필요 없이 바로 사용하면 된다. Homepage: http://forensic.korea.ac.kr/tools.html http://forensic.korea.ac.kr/tools.html forensic.korea.ac.kr * 수집방법 - REGA를 처음 실행하면 흑색의 빈화면과 상단에 메뉴바가 나온다. - [파일] - [레지스트리 파일 수집] - [현재 시스템 레지스트리 수집] 경로로 "클릭" - [폴더 찾아보기] 가 나오면 새 폴더 만들기를 "클릭"하여 새 폴더를 [REGA] - [폴더]를 지정하여 확인을 "클릭" - 폴더명은 각자 하고 싶은..

디지털 포렌식에서 매우 중요한 역할을 하고 있는 해시(hash)는 무엇이고, 이에 따른 디지털 포렌식에서 하는 역할이 뭘까? 해시(hash)란? - 해시 함수에 데이터를 넣었을 때 나오는 결과 값을 해시값, 해시, 해시 코드 등으로 불리게 된다. 해시 함수는 임의의 길이의 데이터를 고정된 길의 데이터로 매핑하는 함수이다. 쉽게 말해서 어떤 데이터를 넣어도 해시 함수의 종류에 따라 정해진 길이의 결과 값으로 반환되는 함수이다. 해시(hash)의 종류 - MD5, SHA1, SHA256, SHA512등 많은 종류가 있다. * MD5: MD5 해시는 항상 128bit의 결과 값을 반환한다. 하지만 실제 출력되는 값을 확인하면 32char으로 출력된다. 128bit = 16byte인데 32char가 나오는 이유..

- 메모리 포렌식 도구로서 오픈소스 이다 - CLI(command-line interface)로서 version 3까지 공개되어 있으나, 현재는 ver 2를 많이 사용하는 편이다. * Volatility 명령어 - imageinfo: 메모리 덤프의 운영체제 식별 - pslist: process 시간대 별로 출력 - psscan: 숨겨진 process 출력 - pstree: PID, PPID 기준으로 구조화되어 출력 - psxview: pslist, psscan을 포한함 결과를 한거번에 출력하여 볼 수 있음. - netscan(network analytics) * windows 7이상 ** TCP, UDP / IPv4, IPv6 *** socket information(listening, establish..