Forensics
[Autopsy] #1 - Autopsy 설치하기
[Autopsy] #1 - Autopsy 설치하기
2020.04.14오늘은 Autopsy 설치 방법에 대해서 알아보도록 하겠습니다! 설치 파일 다운로드는 아래의 경로와 같습니다 https://www.autopsy.com/download/ Autopsy | Download Download Autopsy Version 4.14.0 for Windows Download 64-bit Download 32-bit Download for Linux and OS X Autopsy 4 will run on Linux and OS X. To do so: 3rd Party Modules 3rd party add-on modules can be found in the Module github repository. From this repos www.autopsy.com 본인의 운영체제에 맞..
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 300
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 300
2020.04.052020 DFC를 대비하기 위해서 2019 DFC 를 풀어보도록 하겠습니다. (2019 DFC는 고3이라,, 참가하지 못했었습니다.) 바로 시작하도록 하겠습니다. Questions This challenge is to find an answer to below questions. 1) Identify a structure of the dump file. ▪ Bootloader, kernel and file system. 2) Find a bootloader base address. 3) Identify a method for enter boot command line interface. 4) Describe a menu of boot command line interface. 5) Figure out a..
[ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출
[ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출
2020.04.03오늘은 아이폰에서 카카오톡 DB를 추출해 보도록 하겠습니다. 먼저 준비물입니다! 1. 아이폰 (탈옥되어있어야한다.) 2. 분석이 가능한 컴퓨터 3. 근성 위 세가지만 가지고 계시다면 충분히 카카오톡 포렌식을 할수 있다고 생각합니다! 바로 본론으로 들어가겠습니다. 먼저 탈옥된 아이폰은 컴퓨터와 연결해줍니다. iFunBox 같은 프로그램을 통해서 데이터 베이스를 추출할겁니다. iFunBox의 사용법과 설치 방법은 아래 링크를 참조해주세요! https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbr..
[iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X)
[iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X)
2020.04.03오늘 아이폰 탈옥에 대해서 총정리를 해보겠습니다. 먼저 준비물입니다. 1. 아이폰(아이폰5 ~ 아이폰 X / 버전 상관 없이 가능) 2. 8기가 이상의 USB 3. 근성 먼저 필자는 아이폰6를 사용해서 탈옥을 해보도록 하겠습니다. 필자의 버전은 12.3.1 이니 참고해주세요! 본격적으로 시작해보겠습니다. 먼저 아이폰을 준비해줍니다. (전원을 켜줍니다) 우분투 OS를 받습니다. http://releases.ubuntu.com/16.04/ Ubuntu 16.04.6 LTS (Xenial Xerus) Select an image Ubuntu is distributed on two types of images described below. Desktop image The desktop image allows y..
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
2020.04.012020 DFC를 대비하기 위해서 2019 DFC 를 풀어보도록 하겠습니다. (2019 DFC는 고3이라,, 참가하지 못했었습니다.) 바로 시작하도록 하겠습니다. Questions By analyzing these artifacts, you can find: 1) H/W information (including model name) of the suspect’s smart device 2) Suspect's activities with various IoT devices focusing on success of activities 3) Wi-Fi SSID used by the suspect 문제는 총 세문제로, 1. 용의자의 스마트 기기의 하드웨어 정보 (모델 이름을 포함) 2. 다양한 IoT 기기로 활..
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
2020.03.31[ CMD - Scheduled Task / Job Information ] schtasks schtasks /query /fo LIST /v schtasks /query /fo LIST /v | findstr "Task To Run:" schtasks /query /fo LIST /v | findstr "appdata" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "exe" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "Task" schtasks /query /f..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
2020.03.29Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 : https://blog.system32.kr/127 Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자.. blog.system32.kr 인스타그램 포렌식에 대한 분석 방법은 위에서 확인할 수 있습니다. 결과 분석이 완료되었으면 우측 하단에서 먼저 시간대를 국가에 따라서 바꿔줍니다. 시간을 바꿔주면 바로 분석을 시작합니다. 총 10,803개의 증거가 ..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1
2020.03.29오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자 명을 적어주었습니다. 증거 소스 - CLOUD 를 선택해 줍니다. 증거 소스 - Cloud - 증거 인식을 선택합니다. 위의 체크박스를 선택해주면, 아이콘과 같이 수많은 플랫폼의 클라우드를 포렌식 할 수 있습니다. 오늘은 인스타그램 포렌식을 진행하도록 했으니 인스타그램을 선택하겠습니다. 인스타그램을 선택해주면 INSTAGRAM PUBLIC ACTIVITY 또는 INSTAGRAM USER ACCOUNT 둘중 하나는 선택할 수 있습니다. 먼저 INSTAGRAM PUBLIC ACTIVITY를..
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
2020.03.28wmic startup list full wmic startup list brief cmd 에서 위 두 명령어를 사용하면 자동시작 프로그램이 어떤게 등록되어 있는지 확인할 수 있다. wmic startup list full 필자의 경우 여러개의 자동시작 프로그램이 등록되어 있습니다. wmic startup list brief wmic startup list brief 명령어를 사용하면 어떤 커맨드를 사용해서 프로그램이 작동하는지 파악이 가능합니다. 또한 어떤 사용자가 사용하는지를 확인할 수 있습니다. 추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.
[Forensics] Windows - Pagefile Information
[Forensics] Windows - Pagefile Information
2020.03.27wmic pagefile wmic pagefile 명령어를 통해서 자신의 PC의 pagefile의 정보를 파악 할 수있다. C:\Users\pental>wmic pagefile AllocatedBaseSize Caption CurrentUsage Description InstallDate Name PeakUsage Status TempPageFile 4352 C:\pagefile.sys 748 C:\pagefile.sys 20200129172709.706676+540 C:\pagefile.sys 1752 FALSE AllocatedBaseSize, Caption, CurrentUsage, Description, InstallDate, Name, PeakUsage, Status, TempPageFile 에..
[Forensics] Windows - 방화벽 정보
[Forensics] Windows - 방화벽 정보
2020.03.27netsh Firewall show state netsh advfirewall firewall show rule name=all dir=in type=dynamic netsh advfirewall firewall show rule name=all dir=out type=dynamic netsh advfirewall firewall show rule name=all dir=in type=static netsh advfirewall firewall show rule name=all dir=out type=static netsh Firewall show state CMD에서 볼수 있듯이 방화벽의 프로필, 작동모드 예외 모드 멀티캐스트 / 브로드캐스트 응답모드, 알림 모드, 그룹 정책 버전, 원격 관리 모드 등..
[Forensics] Windows - 유저와 관리자 정보 가져오기
[Forensics] Windows - 유저와 관리자 정보 가져오기
2020.03.26whoami whoami /user net users net localgroup administrators net group /domain [groupname] net user /domain [username] wmic sysaccount wmic useraccount get name,SID wmic useraccount list whoami whoami /user whoami, whoami /user 명령어를 통해서 사용자의 이름과 SID 값을 구할 수 있다. net users net localgroup administrators net user, net localgroup administrators 명령어를 통해서 사용자의 계정이 어떤 것이 있는지와, 별칭을 확인 할 수 있다 wmic sysaccou..
[Forensics] Windows - 시스템 정보 가져오기
[Forensics] Windows - 시스템 정보 가져오기
2020.03.26get-computerinfo echo %DATE% %TIME% date /t time /t reg query "HKLM\System\CurrentControlSet\Control\TimeZoneInformation" systeminfo wmic computersystem list full wmic /node:localhost product list full /format:csv wmic softwarefeature get name,version /format:csv wmic softwareelement get name,version /format:csv reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /s echo %PATH% (gci en..
[Forensics] Windows - 로그인 정보
[Forensics] Windows - 로그인 정보
2020.03.26wmic netlogin list /format:List query user qwinsta klist sessions C:\Windows\system32>wmic netlogin list /format:List AccountExpires= AuthorizationFlags=0 BadPasswordCount=0 Comment= CountryCode=0 Description=Network login profile settings for on DESKTOP-4K1BO95 Flags=66081 FullName= HomeDirectory= HomeDirectoryDrive= LastLogoff=**************.******+*** LastLogon=20200326201400.000000+540 Logon..
[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..