- 분류 전체보기 (476)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- Strings
- 2018
- diva
- SQL Injection
- igoat
- ctf
- Volatility
- vulnhub
- foremost
- InsecureBank
- Suninatas
- lord of sql injection
- 인시큐어뱅크
- XSS
- filescan
- 포렌식
- beebox
- CTF-d
- 안드로이드
- base64
- elasticsearch
- Openstack
- frida
- dreamhack
- Docker
- kibana
- imageinfo
- ESXi
- FTK Imager
- otter
- Today
- Total
Information Security
네트워크 연결정보 분석 연습문제 본문
1. 'Episode06.L01' 파일을 다운로드한다.
- 다운로드할 곳 : https://github.com/bjpublic/winsecurity
- MD5 해시값 : C77F8B9CAE7709496419D9B140E09ACC
2. FTK Imager에 'Episode06.L01' 파일을 추가한다.
① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.
② [File] ⇒ [Add Evidence Item] ⇒ [Image File] ⇒ [Browse]를 클릭한 후 'Episode06.L01' 파일을 로드한다.
③ 왼쪽 트리 구조에서 이미지 파일에 포함된 폴더와 파일을 확인한다.
3. 'Episode06.L01'에서 모든 폴더와 파일을 Export 한다.
4. OSForensics 프로그램을 실행하고, Case를 만들고, 위 Export 된 폴더를 추가한다. (또는 'Episode06.L01' 이미지 파일을 추가한다)
① OSForensics Trial Version을 선택한다.
② [Manage Case] ⇒ [New Case]를 클릭한 후, Case 이름을 넣고, Investigate Disk from Another Machine을 선택한다.
③ 하단에 케이스를 저장할 폴더를 지정한다.
④ [Add to Case] ⇒ [Device] ⇒ [Evidence Source]에서 Folder/Network Path를 선택하여 'Export' 폴더를 추가한다.
5. OSForensics 프로그램으로 다음의 사항을 분석한다.
① [Case Items]에서 [Open]을 클릭하거나 왼쪽 메뉴에서 [File System Browser]를 선택하여 폴더와 파일을 확인한다.
② Microsoft-Windows-Dhcp-Client 이벤트 로그를 찾아서 우측 마우스를 클릭한 후 [Open (Default Program)] 선택하면 '이벤트 뷰어'가 열리고, 그곳에서 분석 대상 컴퓨터의 무선 네트워크 카드의 MAC 주소를 확인한다.
③ Microsoft-Windows-Dhcp-Client 이벤트 로그를 찾아서 우측 마우스를 클릭한 후 [Open (Default Program)] 선택하면 '이벤트 뷰어'가 열리고, 그곳에서 연결된 네트워크 공유기를 확인한다.
④ Setupapi.setup.log 파일을 찾아서 더블 클릭한 후 [Text Viewer] 탭에서 유선 네트워크 카드의 MAC 주소를 확인한다.
6. Accessdata Registry Viewer를 실행하여 SYSTEM 파일을 추가하여, 아래의 사항을 분석한다.
① SYSTEM 레지스트리에서 Tcpip > Parameters > Interfaces 키를 찾아, 네트워크 카드의 개수, 유선 네트워크 카드의 제품명 및 GUID, 무선 네트워크 카드의 제품명 및 GUID, 할당된 IP, 할당 일시 등을 확인한다.
① 유선 네트워크 카드 (Wired)
- 제품명: 이더넷 (Ethernet)
- GUID: {1bdbe12d-0bdb-4222-824a-e8bd62cb7238}
- 할당 IP: 192.168.35.251
- 할당 일시: 2020-09-25 22:15:09 (KST)
- 하드웨어 정보: Qualcomm Atheros 기반 (PCI 장치)
② 무선 네트워크 카드 (Wireless)
- 제품명: Wi-Fi
- GUID: {9c8834a2-69e1-43b3-9d56-da6056a3a7bd}
- 할당 IP: 192.168.1.34
- 할당 일시: 2020-10-24 15:37:07 (KST)
- 하드웨어 정보: Intel 기반 (PCI 장치)
③ 가상 네트워크 어댑터 (VMware VMnet1)
- 제품명: VMware Network Adapter VMnet1
- GUID: {7abf26d6-9235-41fb-afe9-5c69f1eef1a0}
- 할당 IP: 192.168.91.1
- 할당 일시: 2020-10-24 16:37:00 (KST)
④ 가상 네트워크 어댑터 (VMware VMnet8)
- 제품명: VMware Network Adapter VMnet8
- GUID: {506f0064-abe3-4ee9-aae4-0e63d26e2043}
- 할당 IP: 192.168.217.1
- 할당 일시: 2020-10-24 16:37:00 (KST)
② SYSTEM 레지스트리에서 {4d36e972-e325-11ce-bfc1-08002be10318} 키를 찾아 유선 네트워크 카드의 MAC 주소를 확인한다.
③ SYSTEM 레지스트리에서 HardwareConfig 키를 찾아 유선 네트워크 카드의 MAC 주소를 확인한다.
④ SYSTEM 레지스트리에서 NetworkSetup2\Interfaces 키를 찾아 유무선 네트워크 카드의 MAC 주소를 확인한다.
7. Accessdata Registry Viewer에 SOFTWARE 파일을 추가하여, 아래의 사항을 분석한다.
① SOFTWARE 레지스트리에서 CurrentVersion > Networkcards 아래에서 유무선 네트워크 카드의 GUID를 확인한다.
② SOFTWARE 레지스트리에서 NetworkList > Profiles 아래 유무선 네트워크 카드의 GUID를 찾아보고 네트워크 공유기의 IP와 프로 파일명을 확인한다.
③ SOFTWARE 레지스트리에서 NetworkList > Signatures 아래 Managed, Unmanaged 키를 찾아보고 연결된 네트워크 공유기의 MAC 주소를 확인한다.
8. Belkasoft Evidence Center X 프로그램을 실행하여 [Create Case] ⇒ Create Case 창에서 사건명과 분석 결과를 저장할 폴더를 지정한 후 [Create]를 클릭 ⇒ [Add a new data source to the case] ⇒ [Add existing] ⇒ [Image] 순으로 클릭하여 'Episode06.L01' 파일을 추가하고 [Next]를 클릭하여 데이터를 처리한 다음, 다음의 사항을 분석한다.
① [Artifacts] ⇒ [Overview] ⇒ [Network] ⇒ [Network cards]에서 컴퓨터에 장착된 네트워크 카드를 확인하고, 데이터의 출처를 파악한다.
② [Artifacts] ⇒ [Overview] ⇒ [Network] ⇒ [TCP/IP Configuration]에서 IP 주소와 할당 날짜 등을 확인하고, 데이터의 출처를 파악한다.
③ [Artifacts] ⇒ [Overview] ⇒ [Network] ⇒ [Wireless network profiles]에서 네트워크 프로 파일명을 확인하고, 네트워크 공유기의 MAC 주소 등을 분석한다.
'포렌식 > 윈도우 디지털 포렌식 완벽 활용서' 카테고리의 다른 글
| 설치되거나 사용된 주요 프로그램 분석 연습문제 (0) | 2026.02.22 |
|---|---|
| 컴퓨터에 연결된 외부 장치 분석 연습문제 (0) | 2026.02.21 |
| 컴퓨터의 주된 사용자에 관한 분석 (0) | 2026.02.21 |
| 디스크와 파티션 연습문제 (0) | 2026.02.16 |
| 윈도우 운영체제의 설치에 관한 정보 분석 연습문제 (0) | 2026.02.16 |
