Forensics
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
2020.03.28wmic startup list full wmic startup list brief cmd 에서 위 두 명령어를 사용하면 자동시작 프로그램이 어떤게 등록되어 있는지 확인할 수 있다. wmic startup list full 필자의 경우 여러개의 자동시작 프로그램이 등록되어 있습니다. wmic startup list brief wmic startup list brief 명령어를 사용하면 어떤 커맨드를 사용해서 프로그램이 작동하는지 파악이 가능합니다. 또한 어떤 사용자가 사용하는지를 확인할 수 있습니다. 추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.
[Forensics] Windows - Pagefile Information
[Forensics] Windows - Pagefile Information
2020.03.27wmic pagefile wmic pagefile 명령어를 통해서 자신의 PC의 pagefile의 정보를 파악 할 수있다. C:\Users\pental>wmic pagefile AllocatedBaseSize Caption CurrentUsage Description InstallDate Name PeakUsage Status TempPageFile 4352 C:\pagefile.sys 748 C:\pagefile.sys 20200129172709.706676+540 C:\pagefile.sys 1752 FALSE AllocatedBaseSize, Caption, CurrentUsage, Description, InstallDate, Name, PeakUsage, Status, TempPageFile 에..
[Forensics] Windows - 방화벽 정보
[Forensics] Windows - 방화벽 정보
2020.03.27netsh Firewall show state netsh advfirewall firewall show rule name=all dir=in type=dynamic netsh advfirewall firewall show rule name=all dir=out type=dynamic netsh advfirewall firewall show rule name=all dir=in type=static netsh advfirewall firewall show rule name=all dir=out type=static netsh Firewall show state CMD에서 볼수 있듯이 방화벽의 프로필, 작동모드 예외 모드 멀티캐스트 / 브로드캐스트 응답모드, 알림 모드, 그룹 정책 버전, 원격 관리 모드 등..
[Forensics] Windows - 유저와 관리자 정보 가져오기
[Forensics] Windows - 유저와 관리자 정보 가져오기
2020.03.26whoami whoami /user net users net localgroup administrators net group /domain [groupname] net user /domain [username] wmic sysaccount wmic useraccount get name,SID wmic useraccount list whoami whoami /user whoami, whoami /user 명령어를 통해서 사용자의 이름과 SID 값을 구할 수 있다. net users net localgroup administrators net user, net localgroup administrators 명령어를 통해서 사용자의 계정이 어떤 것이 있는지와, 별칭을 확인 할 수 있다 wmic sysaccou..
[Forensics] Windows - 시스템 정보 가져오기
[Forensics] Windows - 시스템 정보 가져오기
2020.03.26get-computerinfo echo %DATE% %TIME% date /t time /t reg query "HKLM\System\CurrentControlSet\Control\TimeZoneInformation" systeminfo wmic computersystem list full wmic /node:localhost product list full /format:csv wmic softwarefeature get name,version /format:csv wmic softwareelement get name,version /format:csv reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /s echo %PATH% (gci en..
[Forensics] Windows - 로그인 정보
[Forensics] Windows - 로그인 정보
2020.03.26wmic netlogin list /format:List query user qwinsta klist sessions C:\Windows\system32>wmic netlogin list /format:List AccountExpires= AuthorizationFlags=0 BadPasswordCount=0 Comment= CountryCode=0 Description=Network login profile settings for on DESKTOP-4K1BO95 Flags=66081 FullName= HomeDirectory= HomeDirectoryDrive= LastLogoff=**************.******+*** LastLogon=20200326201400.000000+540 Logon..
[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
2020.03.07[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. [ 문제 : Magnet Axiom Process 가 Android 기기를 감지할 수 없습니다! ] 컴퓨터와 장치를 준비한 후 Manget AXIOM Process가 여전히 장치를 감지하지 못하면 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다운로드하세요. 가능한 해결책 : 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다..
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다. 모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자. 더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자 수집할 수 있는 이미지에는 두 가지 유형이 있습니다. 빠른 이미지는 사용..
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
2020.02.23https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 기존의 방법과 같은데 위에서 언급한 방법은 방문 기록, 히스토리가 아닌, 북마크와 즐겨찾기의 기록이었다. 오늘은 정확한 방문 기록, 히스토리 포렌식에 대해서 다루도록 하겠다. \private\var\mobile\Containers\Data\App..
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
2020.02.01[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 Axiom Process 맞춤설정에 대해서 다뤘었다. 오늘은 이미지 수집을 위한 모바일 장치 준비에 대해서 다루도록 하겠다. iOS 또는 Android 장치에서 이미지를 수집하기 전에 컴퓨터 및 장치가 올바르게 설정되어 있는지 확인하자. 컴퓨터 설정에 대한 자세한 내용은 시스템 요구사항 부분을 참고하도록 하자. [ 모바일 장치 준비 ] Magn..
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 증거분석에 대해서 다뤘었다. 오늘은 Magnet Axiom Process 맞춤설정에 대해서 다루도록 하겠다. Magnet AXIOM Process를 사용하기 전에 진단 정보를 Magnet Forensics(Company)에 제공할지, 소프트웨어 업데이트를 자동으로 수신할지, 검색 중에 컴퓨터가 절전 모드로 전환되지 않도록 할 것인지 등의 일반 설..
MAGNET Axiom - User Guide (Korean) #5 증거 분석
MAGNET Axiom - User Guide (Korean) #5 증거 분석
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 아티팩트 상세 정보에 대해서 다뤘었다. 오늘은 증거 분석에 대해서 다루도록 하겠다. Manget AXIOM Process에서 각 섹션의 구성을 마치면 증거 분석을 클릭하여 증거 검색을 시작한다. Magnet AXIOM Examine이 자동으로 열리고 복구된 증거가 표시된다. 증거 분석 화면에는 스캔 진행 퍼센 트와 검색 정의 및 스레드 세부 정보..
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
2020.01.22[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/78?category=760574 MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 ..
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
2020.01.16[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/77?category=760574 MAGNET Axiom - User Guide (Korean) #2 증거 선택 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 중요한 단계만 보려..