| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 |
- Strings
- otter
- SQL Injection
- FTK Imager
- diva
- ctf
- dreamhack
- vulnhub
- igoat
- InsecureBank
- foremost
- XSS
- frida
- Suninatas
- Docker
- beebox
- base64
- lord of sql injection
- Volatility
- ESXi
- Openstack
- kibana
- filescan
- 포렌식
- elasticsearch
- 인시큐어뱅크
- 2018
- imageinfo
- CTF-d
- 안드로이드
- Today
- Total
목록FTK Imager (9)
Information Security
1. 'Episode07.L01' 파일을 다운로드한다.다운로드 곳 : https://github.com/bjpublic/winsecurityhttps://github.com/bjpublic/winsecurityMD5 해시값 : 9D5804B8074626A169576FFB65CA56E22. FTK Imager에 'Episode07.L01' 파일을 추가한다.① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다. ② [File] ⇒ [Add Evidence Item] ⇒ [Image File] ⇒ **[Browse]**를 클릭한 후 'Episode07.L01' 파일을 로드한다. ③ 왼쪽 트리 구조에서 이미지 파일에 포함된 폴더와 파일을 확인한다.3. 'Epis..
디스크와 파티션 연습문제
1. ‘Episode02.E01’ 파일을 다운로드한다.다운로드할 곳 : https://github.com/bjpublic/winsecurityhttps://github.com/bjpublic/WinsecurityMD5 해시값 : b759baec97005d8825dc7e8c7b6059db2.FTK Imager에 ‘Episode02.E01’ 파일을 추가한다.① 바탕화면의 FTK Imager 아이콘에서 마우스 우측 버튼을 클릭하여 관리자 권한으로 실행한다.② [File] → [Add Evidence Item] → [Image File] → [Browse]를 클릭한 후 ‘Episode02.E01’ 파일을 로드한다.③ 왼쪽 트리 구조에서 이미지 파일에 포함된 데이터를 확인한다.3. ‘Episode02.E01’에서..
윈도우 운영체제의 설치에 관한 정보 분석 연습문제
1. ‘Episode01.01’ 파일을 다운로드한다.다운로드할 곳 : https://github.com/bjpublic/WinsecurityMD5 해시값 : FA1F6E267FC08714473C20A89D6443D2. FTK Imager 프로그램(version 4.5)을 다운로드한다.다운로드할 곳 : https://accessdata.com/product-download/ftk-imager-version-4-5 3. AccessData 사의 Registry Viewer(version 2.0.0)을 다운로드한다다운로드할 곳 : https://accessdata.com/product-download/registry-viewer-2-0-0 4. DCode 프로그램을 다운로드한다.다운로드할 곳 : https:/..
Track_the_file 문제
시스템의 로그 파일$MFT디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능[ROOT]\$MFT$LogFile파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요[ROOT]\$LogFile$UsnJrnl파일에 발생한 변경 이력을 추적특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)[ROOT]\$Extend\$UsnJrnl 첫 번째로 [root]\$LogFile 파일을 추출했다. 두 번째로 [root]\$MFT 파..
chrome_artifacts 문제
Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.
boot_time 문제
System 로그의 Event ID 6005:의미: Windows 시스템의 시작을 알리는 이벤트입니다.상세 설명: 이 이벤트는 Windows 운영 체제가 부팅될 때 시스템 로그 서비스가 시작되었음을 기록합니다. 보통 시스템이 정상적으로 부팅되었는지 확인하기 위해 사용되며, “이벤트 로그 서비스가 시작되었습니다”라는 메시지와 함께 나타납니다.용도: 주로 시스템의 시작 시간과 운영 상태를 파악할 때 사용됩니다.Security 로그의 Event ID 4608:의미: Windows 시스템의 보안 로그 초기화를 알리는 이벤트입니다.상세 설명: 시스템 부팅 후 보안 설정이 초기화되는 시점을 기록합니다. 이는 보안 관련 이벤트 로깅이 시작된다는 의미로, 시스템이 부팅되거나 재시작될 때 나타납니다.용도: 보안 측면에서..
Autoruns 문제
FindUSB문제에서 사용했던 파일 중에서 Registry Explorer로 NTUSER 하이브 파일을 열어준다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run 레지스트리에서 자동으로 시작하는 프로그램들을 확인할 수 있다. 자동으로 실행되고 있는 파일들을 확인할 수 있다. 해당 경로에 malware.exe 파일을 확인 malware.exe 파일을 MD5 해시값으로 계산
Find the USB 문제
주어진 이미지 파일(DiskImage.E01)에서 아래 경로의 레이지스트리 파일들을 수집한다. [root]\Windows\Users\victim\NTUSER.DAT [root]\Windows\System32\config\DEFAULT[root]\Windows\System32\config\SAM[root]\Windows\System32\config\SECURITY[root]\Windows\System32\config\SOFTWARE[root]\Windows\System32\config\SYSTEMRLA 도구를 이용해 레지스트들을 dirty 상태에서 clean 상태로 만든다. FTK Imager를 이용하여 DiskImage 이미지 파일에서 Users\victim\NTUSER.DAT 파일을 추출한다. Di..