도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘 부터는 윈도우 레지스트리 (Win7 기반) 아티팩츠를 좀 더 자세히 살펴 보겠습니다. 모두 화이팅하세요.!! NTUSER.DAT file - TypedURLs 가장 최근에 검색한 URL을 보여줍니다. IE 브라우저에 직접 입력하거나, 붙여넣기한 URL 주소를 확인 가능합니다. 즉, 이것은 특정 웹페이지가 우연하게 연동(redirection)된 것이 아니라, 적어도 사용자가 직접 개입하였음을 의미합니다. 최대 25개의 URL 엔트리가 기록되고, 가장 윗쪽에 있는 엔트리(가장 작은 숫자의 엔트리)가 가장 마지막(가장 최근) 검색 기록입니다. TypedURLs는 ‘닫기’를 누르거나, File > Close 해야만 그 정보가 갱신됩니다. MRUs – Recent Doc..

안녕하세요. 도깬리 포렌식스 입니다. 태풍으로 인해 월요일 아침부터 비가 내리네요. 이번 한주도 힘내세요! Viewing Registry Properties 레지스트리 속성은 레지스트리 value 안에서 인식가능하도록 추출해야 합니다. 윈도우 NT 기반의 레지스트리 파일에 포함된 모든 키는 Last Written Time 속성을 갖고 있습니다. Accessing Live Registry Files ‘Registry Viewer’는 동작중인 시스템의 레지스트리 파일은 열 수 없습니다. 윈도우 API는 시스템이 동작중인 경우 레지스트리 파일을 보호합니다. Obtaining Registry Files Live System 인 경우 Regedit로 추출 가능합니다. FTK Imager로 추출 가능합니다. Obt..

안녕하세요. 도깬리 포렌식스 입니다. 설명이 필요없는 최고의 윈도우 포렌식 분석 아이템 ! 윈도우 레지스트리에 대해 알아 보겠습니다. 모두 화이팅하세요! What is the Registry 일종의 centralized hierarchical database 입니다. 부팅할 때 메모리에 레지스트리 DB를 올려 놓고 동작하며, 컴퓨터를 끌 때 메모리에 올라가 있는 DB는 각각의 Hive에 저장되는 메커니즘입니다. Forensic Benefits of the Registry 레지스트리에서의 주요 분석 대상은 다음과 같습니다. - 사용자명, 패스워드 - 인터넷 검색 흔적 - 최근에 열람한 파일 - 설치된 모든 프로그램에 관한 목록 - 시스템 사용자명과 로그온한 정보 - 하드웨어, 소프트웨어 정보 등 Hives..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Windows 7에서의 보호모드에 대해 알아보겠습니다. 윈도우 7 이후의 버전에도 거의 비슷하게 적용되니 참고하시면 되겠습니다. User Account Control Windows 7에서의 Protected Mode는 시스템에 3가지 방식의 보호기능을 제공합니다. Protected Mode 하에서는 악성프로그램이 ‘키로그’를 시작 메뉴에 설치 할 수 없습니다. 사용자가 관리자 권한으로 로그인 하여도, 일단은 Standard Account 권한으로 동작하고, 필요한 때에만 관리자 권한으로 작동하는 구조입니다. 3단계 보호모드 User Account Control (UAC) Mandatory Integrity Control (MIC) User Interface P..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 링크파일과 점프리스트 2번째 시간입니다. 화이팅하시고, 즐거운 한 주 되세요. Automatic Destinations '16개의 헥스 문자.automaticDestinations-MS' 가 파일 이름입니다. 각각의 엔트리는 각각의 어플리케이션과 연관되어 있습니다. Jump List 기능을 해제하여도 데이터는 그대로 유지되는 속성을 갖습니다. DestList 는 일종의 ‘요약 DB’ 입니다. Filtered 탭에서 인식 가능한 텍스트를 추출하여 분석할 수 있습니다. Custom Destinations 프로그래머 또는 사용자가 특정 어플리케이션의 행위에 대한 파라미터를 설정할 수 있도록 지원하는 기능을 갖습니다. Jump Lists 링크파일 분석을 통해 원격지의..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 날씨가 화창하네요. 선선한 바람이 불기 시작했습니다. 가을이 오려나 봅니다. 윈도우 바로가기 파일과 점프 리스트에 대하여 설명합니다. 오늘은 그 첫번째 시간입니다. Link Files 아래의 항목으로 바로 연결되는 파일입니다. - 로컬 또는 네트워크 프로그램 - 파일 - 폴더 - 컴퓨터 - 웹 주소 .LNK, .URL 확장자로 존재합니다. 링크파일에서 확인 가능한 정보 - Target item(원본 파일)의 생성 날짜 - Target의 전제 경로 - NETBIOS 이름 - Target을 포함하는 시스템의 MAC 주소 등 XP의 경우 링크파일의 저장 위치 Documents and Settings\\Recent Windows 7 이후의 Link Files OS는 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Windows 7 이후의 GPT 파티션과 파일시스템의 변화에 대해 알아보겠습니다. 화이팅하세요. NTFS Changes Windows 7은 NFTS 버전 6이지만 Vista와 기능면에서 거의 유사하였습니다. Extensible Firmware Interface “EFI는 BIOS가 진화된 것으로, GPT와 짝꿍이다.” EFI가 적용된 경우, BIOS 설정 화면을 볼 수 없습니다. 각종 드라이버의 저장 위치 Windows XP BIOS에 저장됩니다. 즉, ROM에 저장됩니다. Windows 7 EFI 파티션에 저장됩니다. 즉, HDD에 저장됩니다. What is a GUID GUID (Global Unique Identifier, 광역식별자) 운영체제가 서로 다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 비트락커(BitLocker) 두 번째 시간입니다. 오늘도 비가 오네요. 모두 화이팅하세요!! BitLocker – Group Policy Options 사용자가 BitLocker를 강제로 사용하도록 그룹정책을 만들어 둘 수 있습니다. Enterprise 시스템을 사용하는 경우, BitLocker 키는 엑티브 디렉토리(Active Directory)에 저장되어 있을 겁니다. BitLocker가 수행되는 5가지 모드 Booting with TPM – only protection 보안에 가장 취약합니다. 아무나 인증 없이 접근이 가능합니다. “짝꿍 HDD를 알고 있으므로 분리하면 안됨” Booting with USB – only protection “짝꿍 HDD를 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Windows 7 이래 포렌식에서 이슈가 되었던 BitLocker에 대해 알아보겠습니다. 모두 화이팅 하세요 !!! BitLocker Overview BitLocker 도입 목적은 분실, 도난 당한 노트북의 데이터를 보호하기 위함입니다. 하드드라이브가 특정 컴퓨터에서 인증된 사용자에 의해서만 접근 가능하도록 구현되었습니다. 이미징 전에 압수된 컴퓨터에서 하드드라이브를 분리하는 전통적 포렌식 절차에 수정이 필요하게 되었습니다. 포렌식 관점에서 다행스러운 점은 BitLocker가 디폴트가 아니며, Windows 7 출시 당시, Enterprise 버전 또는 Ultimate 버전에서만 작동하였다는 점입니다. 즉, 범죄현장에서 자주 만나게 되는 Home, Profes..

안녕하세요. 도깬리 포렌식스 입니다. 약 7개월간의 EnCase를 이용한 윈도우 포렌식 연재를 마치고, 금일 부터는 FTK를 이용한 윈도우 포렌식을 시작합니다. 윈도우 7 기반으로 연재를 진행합니다. 윈도우 10 이후의 아티팩트는 차후 별도로 연재를 할 예정입니다. FTK의 사용법 보다는 주로 AD Registry Viewer를 이용한 윈도우 아티팩트 분석 중심으로 시리즈를 진행하겠습니다. 참고문서는 AD Windows Forensics (Win7) 입니다. 시작하겠습니다. Windows 7 Desktop 새로이 등장한 기능 Jump Lists Aero Key Version Features Windows 7 Starter 최대 동시에 3개의 사용자 프로그램만 구동 가능합니다. Windows 7 Home ..