| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- diva
- SQL Injection
- Docker
- dreamhack
- InsecureBank
- FTK Imager
- elasticsearch
- lord of sql injection
- igoat
- ctf
- Volatility
- 포렌식
- filescan
- beebox
- 안드로이드
- otter
- XSS
- 인시큐어뱅크
- base64
- ESXi
- frida
- 2018
- Suninatas
- foremost
- imageinfo
- Strings
- CTF-d
- vulnhub
- kibana
- Openstack
- Today
- Total
Information Security
설치되거나 사용된 주요 프로그램 분석 연습문제 본문
1. 'Episode05.L01' 파일을 다운로드한다.
- 다운로드할 곳 : https://github.com/bjpublic/winsecurity
- MD5 해시값 : 9001E8610CB62A9F47BF7FC537A4E2AB
2. FTK Imager에 'Episode05.L01' 파일을 추가한다.
① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.
② [File] ⇒ [Add Evidence Item] ⇒ [Image File] ⇒ [Browse]를 클릭한 후 'Episode05.L01' 파일을 로드한다.
③ 왼쪽 트리 구조에서 이미지 파일에 포함된 데이터 중 Program Files와 Program Files (x86) 폴더의 내용을 확인한다.


3. 'Episode05.L01'에서 모든 폴더와 파일을 Export 한다.

4. OSForensics 프로그램을 실행하고, Case를 만들고, 위 Export 된 폴더를 추가한다.
① OSForensics Trial Version을 선택한다.
② [Manage Case] ⇒ [New Case]를 클릭한 후, Case 이름을 넣고, Investigate Disk from Another Machine을 선택한다.
③ 하단에 케이스를 저장할 폴더를 지정한다.
④ [Add to Case] ⇒ [Device] ⇒ [Evidence Source]에서 Folder/Network Path를 선택하여 'Export' 폴더를 추가한다.

5. OSForensics 프로그램으로 다음의 사항을 분석한다.
① [Case Items]에서 [Open]을 클릭하거나 왼쪽 메뉴에서 [File System Browser]를 선택하여 폴더와 파일을 확인한다.

② 왼쪽 메뉴에서 [User Activity]를 클릭한 후, [Device to scan]에 'Export'가 선택되어 있는지 확인하고 [Scan]을 누른다.

③ [User Activity] 분석 화면의 왼쪽 메뉴에서 [Event Logs]를 클릭하여 프로그램의 실행 흔적을 살펴본다.

6. AutoPsy를 실행하여 새로운 Case를 만든 다음, [Add Data Source] ⇒ [Logical Files]에서 Export 된 최상위 폴더를 추가한 후 [Configure Ingest Modules]를 선택하여 데이터를 처리한다.

7. AutoPsy의 분석 화면이 열리면 왼쪽 트리의 Data Source에서 추가된 폴더와 파일을 확인한 후, 아래의 사항을 분석한다.
① 왼쪽 하단 [Results] ⇒ [Run Programs] 카테고리에 등록된 VMware의 실행 흔적을 확인한다.

② 오른쪽 테이블에 현출된 엔트리를 클릭하여 하단의 Results 탭에서 세부 정보를 확인한다.

8. Accessdata Registry Viewer를 실행하여 SOFTWARE 파일을 추가하여, 아래의 사항을 분석한다.
① SOFTWARE 레지스트리에서 Uninstall 키를 찾아, 설치된 프로그램을 확인한다.

② SOFTWARE 레지스트리 Wow6432Node 키를 찾아 설치된 프로그램을 확인한다.

9. Accessdata Registry Viewer에 NTUSER.DAT 파일을 추가하여, UserAssist 키를 찾아 VMware 프로그램의 마지막 실행 일시와 실행 횟수를 확인한다.


10. Belkasoft Evidence Center X 프로그램을 실행하여 [Create Case] ⇒ Create Case 창에서 사건명과 분석 결과를 저장할 폴더를 지정한 후 [Create]를 클릭 ⇒ [Add a new data source to the case] ⇒ [Add existing] ⇒ [Folder] 순으로 클릭하여 위 3항에서 Export 된 최상위 폴더를 추가한 후 [Next]를 클릭하여 데이터를 처리한 다음, 다음의 사항을 분석한다.
① [Artifacts] ⇒ [Overview] ⇒ [Explorer programs] ⇒ [Programs]에서 실행된 프로그램과 실행 횟수를 확인한다.
② [Artifacts] ⇒ [Overview] ⇒ [Prefetch files]에서 VMware의 마지막 실행 일자를 확인한다.
'포렌식 > 윈도우 디지털 포렌식 완벽 활용서' 카테고리의 다른 글
| 네트워크 연결정보 분석 연습문제 (0) | 2026.02.22 |
|---|---|
| 컴퓨터에 연결된 외부 장치 분석 연습문제 (0) | 2026.02.21 |
| 컴퓨터의 주된 사용자에 관한 분석 (0) | 2026.02.21 |
| 디스크와 파티션 연습문제 (0) | 2026.02.16 |
| 윈도우 운영체제의 설치에 관한 정보 분석 연습문제 (0) | 2026.02.16 |
