[Forensics] Windows - 로그인 정보
[Forensics] Windows - 로그인 정보
2020.03.26wmic netlogin list /format:List query user qwinsta klist sessions C:\Windows\system32>wmic netlogin list /format:List AccountExpires= AuthorizationFlags=0 BadPasswordCount=0 Comment= CountryCode=0 Description=Network login profile settings for on DESKTOP-4K1BO95 Flags=66081 FullName= HomeDirectory= HomeDirectoryDrive= LastLogoff=**************.******+*** LastLogon=20200326201400.000000+540 Logon..
[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
2020.03.07[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. [ 문제 : Magnet Axiom Process 가 Android 기기를 감지할 수 없습니다! ] 컴퓨터와 장치를 준비한 후 Manget AXIOM Process가 여전히 장치를 감지하지 못하면 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다운로드하세요. 가능한 해결책 : 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다..
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다. 모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자. 더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자 수집할 수 있는 이미지에는 두 가지 유형이 있습니다. 빠른 이미지는 사용..
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
2020.02.23https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 기존의 방법과 같은데 위에서 언급한 방법은 방문 기록, 히스토리가 아닌, 북마크와 즐겨찾기의 기록이었다. 오늘은 정확한 방문 기록, 히스토리 포렌식에 대해서 다루도록 하겠다. \private\var\mobile\Containers\Data\App..
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 증거분석에 대해서 다뤘었다. 오늘은 Magnet Axiom Process 맞춤설정에 대해서 다루도록 하겠다. Magnet AXIOM Process를 사용하기 전에 진단 정보를 Magnet Forensics(Company)에 제공할지, 소프트웨어 업데이트를 자동으로 수신할지, 검색 중에 컴퓨터가 절전 모드로 전환되지 않도록 할 것인지 등의 일반 설..
MAGNET Axiom - User Guide (Korean) #5 증거 분석
MAGNET Axiom - User Guide (Korean) #5 증거 분석
2020.01.27[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번시간에 아티팩트 상세 정보에 대해서 다뤘었다. 오늘은 증거 분석에 대해서 다루도록 하겠다. Manget AXIOM Process에서 각 섹션의 구성을 마치면 증거 분석을 클릭하여 증거 검색을 시작한다. Magnet AXIOM Examine이 자동으로 열리고 복구된 증거가 표시된다. 증거 분석 화면에는 스캔 진행 퍼센 트와 검색 정의 및 스레드 세부 정보..
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
2020.01.22[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/78?category=760574 MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 ..
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보
2020.01.16[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. https://blog.system32.kr/77?category=760574 MAGNET Axiom - User Guide (Korean) #2 증거 선택 [ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 중요한 단계만 보려..
MAGNET Axiom - User Guide (Korean) #1 툴 소개 & 요구 사항
MAGNET Axiom - User Guide (Korean) #1 툴 소개 & 요구 사항
2020.01.13[ MAGNET Axiom - User Guide (Korean) ] 오늘은 Magnet Axiom의 User Guide 입니다. (Reference : Magnet Axiom Korean User Guide) Magnet Axiom은 디지털 포렌식 수사 플랫폼이다. 하나의 컴퓨터에서 컴퓨터, 스마트폰, 클라우드 등 데이터를 수집하고 처리하는 유일한 플랫폼이라고 소개되어있다. Magnet Axiom은 아래와 같은 항목을 지원한다고 한다. 1. 대부분의 소스에서의 데이터 복구 (아마 카빙 기법이라고 추측) 2. 더 좋은 조사 시작점을 제공하여 아티팩트로 드릴 다운 (더욱 체계적인 분석으로 아티팩트 결과를 제공) 3. 주요 증거를 신속하게 찾음 (필자가 해본 결과 일반적으로 CLI를 통해 Volatility..
MAGNET Axiom - Memory Forensics #1
MAGNET Axiom - Memory Forensics #1
2020.01.12[ IOS Forensics with MAGNET Axiom #4 Memory Forensics ] 오늘은 메모리 포렌식에 대해서 포스팅을 해보려고 합니다. 메모리 파일은 "GrrCoN 2015" 문제 파일을 사용하도록 하겠습니다. 메모리 파일 다운로드는 http://ctf-d.com 의 Memory 파트에서 다운받으실수 있습니다. 필자는 Magnet Axiom의 사용법도 모르면서 그냥 막 사용중입니다. 사실 필자의 목표는 Magnet Axiom 의 사용법을 터득하는거입니다. 틀린점이 있더라도 그냥 봐주세요 :) 먼저 필자는 케이스의 정보를 입력해주었습니다. 증거소스로는 컴퓨터 / Wdinwos / 메모리 / 메모리 덤프파일을 선택해 주었습니다. 메모리 덤프파일을 불러오니 자동으로 프로파일을 선택할지 아..
MAGNET Axiom - IOS Forensics #3 채팅 분석
MAGNET Axiom - IOS Forensics #3 채팅 분석
2020.01.09채팅분석 #1 - iOS iMessage/SMS/MMS 분석입니다. 2020-01-09 필자는 100% 검사를 대략 2시간만에 완료했습니다. (아이폰6) 아티팩트를 살펴 보니 18,446개의 증거파일이 존재한다고 합니다. 먼저 채팅관련부분을 살펴보겠습니다. 채팅 관련 부분에서는 IOS IMessage/SMS/MMS 등을 파악할수 있었습니다. 먼저 범주로는 보낸사람, 메시지, 메시지 보낸 날짜/시간, 받는사람, 유형, 상태, 메시지 배달 날짜/시간, 메시지를 읽은 시간, 첨부파일, 첨부파일 복구됨, Sent By Siri, 소스, 복구방법, 삭제된 출처, 위치 등을 파악할수 있습니다. 자세히 알아보도록 하겠습니다. 1. 보낸사람 : 즉 말그대로, 보낸사람의 이메일 명 또는 전화번호를 표시합니다. 2. 메시..
MAGNET Axiom - IOS Forensics #1
MAGNET Axiom - IOS Forensics #1
2020.01.07기회가 되어서 마그넷 회사의 axiom 디지털 포렌식 툴을 사용하게 되었습니다. 늘 감사드립니다. 필자는 진행 중이던 분석이 없으므로 새로운 케이스를 만들어 줘야 합니다. 케이스 번호, 케이스 유형, 케이스 파일 저장 위치 등등을 입력할 수 있습니다. 필자는 새로운 케이스를 생성해 줬습니다. 증거 소스를 선택해 줘야 합니다. 증거 소스로는 컴퓨터, 모바일, 클라우드가 있습니다. 클라우드는 어떤 기능을 가지고 있을지,, 필자는 항상 궁금했습니다. Magnet Axiom ios forensics을 꼭 한번 써보고 싶다. 이번에 기회가 되어 어서 빠르게 분석해보겠습니다. (필자는 아이폰을 포렌식 할 거여서 모바일을 선택했습니다.) 증거 로드, 증거 인식, GRAYKEY에 연결 기능이 있습니다. GRAYKEY에..
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..