분류 전체보기 331

[Mac Forensics] Command Line 기반 조사 방법

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서 명령어 기반 조사방법을 알아 봅시다. 모두 화이팅하세요!!! 장점 - Additional Options 제공 일부 옵션은 Command line에서만 가능한 것도 있습니다. 일부 어플리케이션은 Command line에서 추가적인 옵션을 제공하기도 합니다. (예: Disk Utilities, Spotlight) - Finder Limitations 보완 GUI Finder는 전체 파일시스템에 대한 사용자의 접근을 제한합니다. GUI Finder에서는 숨겨진 파일이 보이지 않으나, Command Line Finder에서는 볼 수 있습니다. - Root (sudo) 접근 Sudo 명령어를 통해서 System user 또는 Root가 될 수 있습니다. - ..

Mac Forensics 2023.09.26

[Mac Forensics] Macintosh File System (04)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Macintosh File System 마지막 시간입니다. 모두 화이팅하세요!!! (주의 : Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조) HFS – Important Data Structures Volume Header 전반적인 볼륨의 정보를 포함합니다. 예) 전체 파일의 개수, allocation block의 크기, 전체 allocations Block의 개수, ..

Mac Forensics 2023.09.23

[Mac Forensics] Macintosh File System (03)

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 계속하여 Macintosh File System에 대해 알아 보겠습니다. 모두 화이팅하세요!!! (주의 : Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조) Read-Only Volume Formats 읽기만 가능한 포맷들에 관한 사항입니다. - NTFS (NT File System) 윈도우 볼륨 포맷입니다. Mac 에서는 CD/DVD 처럼 취급하고 있습니다. - ISO..

Mac Forensics 2023.09.21

[Mac Forensics] Macintosh File System (02)

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 Macintosh File System에 대해 알아 보겠습니다. 모두 화이팅하세요!!! (주의 : Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조) Mac OS X Extended Mac OS X Extended는 HFS+ 로 알려져 있습니다. 이것은 FAT32 파일시스템과 비슷한 기능을 갖습니다. 이것은 OS X 8.1 이후의 Mac OS 시스템에서 이용되었습니다. 파..

Mac Forensics 2023.09.19

[Mac Forensics] Macintosh File System (01)

안녕하세요. 도깬리 포렌식스 입니다. 오늘 부터는 Macintosh File System에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! (Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조) 파티션과 볼륨 Partition Schemes은 다음과 같습니다. - GPT (GUID Partition Table) - APM (Apple Partition Map) - MBR (Master Boot Record) Parti..

Mac Forensics 2023.09.17

[Mac Forensics] Mac OS X 간편하게 조사하기

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 OS X에 대한 간편한 조사방법을 알아보겠습니다. 모두 화이팅하세요!!! 포렌식 임시계정을 만들어 조사하기 장점 간단합니다 : 즉, 사용자가 평소대로 보는 것처럼 증거를 살펴 볼 수 있습니다. 설치되어 있는 원래의 프로그램을 사용하게 되므로 데이터를 더욱 쉽게 처리할 수 있습니다. 스크린 샷을 찍을 수 있고, 증거에 대한 PDF 사본을 만들 수 있습니다. OS X를 이용하여 증거를 확인할 수 있습니다. (예: Spotlight index) 기술이 없는 일반인도 쉽게 이해할 수 있습니다. 포렌식 임시 계정을 손쉽게 만들 수 있고, 작업이 끝난 후 계정 폐기할 수 있습니다. 혐의 파일을 보기 위하여 새로운 사용자 계정은 다음과 같이 만들어져야 합니다. - Syst..

Mac Forensics 2023.09.15

[Mac Forensics] Mac OS X 소개 (06)-Root Directory

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac OS X에서 Root Directory 아래의 아티팩트에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Mac OS X의 Root Directory Applications 모든 설치된 어플리케이션은 기본적으로 이 위치에 설치될 것 입니다. 그러나 어플리케이션은 어떤 위치에 있더라도 동작 가능합니다. Users 모든 로컬 사용자의 홈 디렉토리는 여기에 위치합니다. 여기엔 Shared 사용자 폴더가 있을 수 있습니다. System OS X의 일부 시스템 관련 데이터가 위치합니다. Library 3rd 파티 add-on이 여기서 발견될 수 있습니다. .Trashes Volume 레벨의 ‘Trash’는 볼륨에 있는 파일의 삭제와 관련된 정보를 포함합니다. Ne..

Mac Forensics 2023.09.12

[Mac Forensics] Mac OS X 소개 (05)-User Home Folders

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac OS X에서 User Home Folders에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! User Home Folders Desktop 데스크탑은 하나의 디렉토리일 뿐이고, 모든 사용자 파일은 여기에서 발견 될 수 있습니다. Documents 임의로 저장 위치를 지정하지 않으면 문서는 기본적으로 여기에 저장됩니다. Downloads 인터넷 관련 어플리케이션에서 파일을 다운로드할 경우 파일이 저장되는 기본 위치입니다. Movies 영화 파일에 관한 기본 저장 위치 입니다. Music 음악 파일에 관한 기본 저장 위치이며, iTunes와 연동된 파일이 여기에 저장될 것입니다. Pictures 이미지 파일에 관한 기본 저장 위치입니다. Public 공유..

Mac Forensics 2023.09.09

[Mac Forensics] Mac OS X 소개 (04)-Quick Look

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Quick Look을 CoverFlow와 함께 알아 보겠습니다. 모두 화이팅 하세요!!! Quick Look Quick Look은 CoverFlow와 함께 동작하는 별도의 어플리케이션으로 파일을 열지 않고서도 더 자세히 파일을 볼 수 있게 합니다. Quick Look을 활성화하는 4가지 방식이 있습니다. - File > Quick Look - Command 누른 채 Y 누름 - Finder에 있는 동안 SpaceBar를 누름 - Finder에서 Quick Look 아이콘을 누름 Quick Look으로 문서를 열람할 때, 조사자는 Slider를 사용하거나 Quick Look 윈도우의 오른쪽의 화살표를 사용하는 방식을로 열람할 수 있습니다. 슬라이드 쇼는 몇몇 이..

Mac Forensics 2023.09.07

[Mac Forensics] Mac OS X 소개 (03)-Status Bar 등

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 Mac OS X에 대해 알아 보겠습니다. 모두 화이팅하세요!!! Mac OS X 개관 : Status Bar Remote Desktop - 매킨토시에서 다른 매킨토시의 데스크탑을 보기 위해 연결하는 것 입니다. Time Machine - 파일 백업 서비스입니다. iChat - 내장형 인스턴트 메신저 입니다. iSync - MobileMe, cell phone과 PDA 동기화 시켜 줍니다. Spaces - 가상 데스크탑입니다. Bluetooth Cell phone, keyboards, mice 등 Wireless LAN Sound Time & Date Spotlight Mac OS X 개관 : Apple Native Applications Messages Rem..

Mac Forensics 2023.09.05