[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
2020.03.28wmic startup list full wmic startup list brief cmd 에서 위 두 명령어를 사용하면 자동시작 프로그램이 어떤게 등록되어 있는지 확인할 수 있다. wmic startup list full 필자의 경우 여러개의 자동시작 프로그램이 등록되어 있습니다. wmic startup list brief wmic startup list brief 명령어를 사용하면 어떤 커맨드를 사용해서 프로그램이 작동하는지 파악이 가능합니다. 또한 어떤 사용자가 사용하는지를 확인할 수 있습니다. 추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.
[Forensics] Windows - Pagefile Information
[Forensics] Windows - Pagefile Information
2020.03.27wmic pagefile wmic pagefile 명령어를 통해서 자신의 PC의 pagefile의 정보를 파악 할 수있다. C:\Users\pental>wmic pagefile AllocatedBaseSize Caption CurrentUsage Description InstallDate Name PeakUsage Status TempPageFile 4352 C:\pagefile.sys 748 C:\pagefile.sys 20200129172709.706676+540 C:\pagefile.sys 1752 FALSE AllocatedBaseSize, Caption, CurrentUsage, Description, InstallDate, Name, PeakUsage, Status, TempPageFile 에..
[Forensics] Windows - 방화벽 정보
[Forensics] Windows - 방화벽 정보
2020.03.27netsh Firewall show state netsh advfirewall firewall show rule name=all dir=in type=dynamic netsh advfirewall firewall show rule name=all dir=out type=dynamic netsh advfirewall firewall show rule name=all dir=in type=static netsh advfirewall firewall show rule name=all dir=out type=static netsh Firewall show state CMD에서 볼수 있듯이 방화벽의 프로필, 작동모드 예외 모드 멀티캐스트 / 브로드캐스트 응답모드, 알림 모드, 그룹 정책 버전, 원격 관리 모드 등..
[Forensics] Windows - 유저와 관리자 정보 가져오기
[Forensics] Windows - 유저와 관리자 정보 가져오기
2020.03.26whoami whoami /user net users net localgroup administrators net group /domain [groupname] net user /domain [username] wmic sysaccount wmic useraccount get name,SID wmic useraccount list whoami whoami /user whoami, whoami /user 명령어를 통해서 사용자의 이름과 SID 값을 구할 수 있다. net users net localgroup administrators net user, net localgroup administrators 명령어를 통해서 사용자의 계정이 어떤 것이 있는지와, 별칭을 확인 할 수 있다 wmic sysaccou..
[Forensics] Windows - 시스템 정보 가져오기
[Forensics] Windows - 시스템 정보 가져오기
2020.03.26get-computerinfo echo %DATE% %TIME% date /t time /t reg query "HKLM\System\CurrentControlSet\Control\TimeZoneInformation" systeminfo wmic computersystem list full wmic /node:localhost product list full /format:csv wmic softwarefeature get name,version /format:csv wmic softwareelement get name,version /format:csv reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /s echo %PATH% (gci en..
[Forensics] Windows - 로그인 정보
[Forensics] Windows - 로그인 정보
2020.03.26wmic netlogin list /format:List query user qwinsta klist sessions C:\Windows\system32>wmic netlogin list /format:List AccountExpires= AuthorizationFlags=0 BadPasswordCount=0 Comment= CountryCode=0 Description=Network login profile settings for on DESKTOP-4K1BO95 Flags=66081 FullName= HomeDirectory= HomeDirectoryDrive= LastLogoff=**************.******+*** LastLogon=20200326201400.000000+540 Logon..