Forensics
[Magnet] Magnet Acquire 사용법
[Magnet] Magnet Acquire 사용법
2020.04.19오늘은 Magnet Acquire 프로그램 사용법에 대해서 알아보도록 하겠습니다. Magnet Acquire의 경우 수사기관, 정부기관에게만 제공된다고 합니다! 먼저 프로그램을 실행시켜 줍니다. 처음 키게 된다면 장치를 검색하게 됩니다. 검색이 완료되면 컴퓨터와 연결된 모든 디바이스와 디스크에 대해서 보여주게 됩니다. 저는 iPhone6를 대상으로 이미지를 취득해 보겠습니다. 아이폰을 선택해준후 다음을 눌러주면 위와 같이 빠른 또는 전체 스캔을 고를수 있습니다. 하지만 아이폰에 탈옥 이 되어 있지 않은 아이폰의 경우 전체 스캔을 사용할수가 없습니다. 필자는 탈옥을 하지 않은 아이폰을 상대로 이미징을 해보도록 하겠습니다. 다음을 눌러 줍니다. 증거 폴더 이름과, 이미지 이름, 조사관, 증거 번호, 설명에 ..
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
[Autopsy] 온라인 무료 강의 혜택 알림 - Autopsy (Covid19)
2020.04.18대략 1주 전부터 코로나의 영향으로 인해서 Autopsy회사에서 온라인 강의를 무료로 배포 하고 있습니다. https://training.autopsy.com/ Autopsy Training We suggest moving this party over to a full size window. You'll enjoy it way more. training.autopsy.com 위 사이트를 접속해 줍니다. 그후 쿠폰 받기를 클릭해 줍니다. 신청서를 작성하고 대략 30분 정도 기다려 줍니다. 쿠폰 코드를 받고 쿠폰 입력창에 쿠폰 번호를 입력해줍니다. 쿠폰 번호를 입력해주면 $495 가 $0 으로 바뀌게 되면서 결제가 완료 됩니다. 강의를 불나게 들어주고 수료증을 받으면 끝이 납니다! 이상으로 홍보를 마치겠습니..
[Autopsy] #1 - Autopsy 설치하기
[Autopsy] #1 - Autopsy 설치하기
2020.04.14오늘은 Autopsy 설치 방법에 대해서 알아보도록 하겠습니다! 설치 파일 다운로드는 아래의 경로와 같습니다 https://www.autopsy.com/download/ Autopsy | Download Download Autopsy Version 4.14.0 for Windows Download 64-bit Download 32-bit Download for Linux and OS X Autopsy 4 will run on Linux and OS X. To do so: 3rd Party Modules 3rd party add-on modules can be found in the Module github repository. From this repos www.autopsy.com 본인의 운영체제에 맞..
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
[2019 DFC] 2019 디지털포렌식 챌린지 - MOI 100
2020.04.012020 DFC를 대비하기 위해서 2019 DFC 를 풀어보도록 하겠습니다. (2019 DFC는 고3이라,, 참가하지 못했었습니다.) 바로 시작하도록 하겠습니다. Questions By analyzing these artifacts, you can find: 1) H/W information (including model name) of the suspect’s smart device 2) Suspect's activities with various IoT devices focusing on success of activities 3) Wi-Fi SSID used by the suspect 문제는 총 세문제로, 1. 용의자의 스마트 기기의 하드웨어 정보 (모델 이름을 포함) 2. 다양한 IoT 기기로 활..
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
[ Volatility GUI ] 볼라틸리티 GUI 환경 처리 소스
2020.03.31https://github.com/kim-do-hyeon/volatility-gui/blob/master/ui.py kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 그래픽 처리 소스는 아래와 같습니다. import os import sys import pathlib import subprocess import plugin from datetime import datetime from PyQt5 import uic from PyQt5.QtGui import * from PyQt5.QtWidgets im..
[ Volatility GUI ] 볼라틸리티 GUI 환경 구축하기
[ Volatility GUI ] 볼라틸리티 GUI 환경 구축하기
2020.03.31https://github.com/kim-do-hyeon/volatility-gui kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by creating an account on GitHub. github.com 먼저 파일을 위 깃헙에서 받을수 있습니다. [ GUI 그래픽 파일 ] https://github.com/kim-do-hyeon/volatility-gui/blob/master/gui.ui kim-do-hyeon/volatility-gui Volatility GUI. Contribute to kim-do-hyeon/volatility-gui development by cr..
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
2020.03.31[ CMD - Scheduled Task / Job Information ] schtasks schtasks /query /fo LIST /v schtasks /query /fo LIST /v | findstr "Task To Run:" schtasks /query /fo LIST /v | findstr "appdata" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "exe" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "Task" schtasks /query /f..
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
MAGNET Axiom - 인스타그램 포렌식 (Instagram Forensics) - #2
2020.03.29Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 : https://blog.system32.kr/127 Magnet Axiom - 인스타그램 포렌식 (Instagram Forensics) - #1 오늘은 Cloud 포렌식 중에서 Instagram 포렌식을 다뤄보도록 하겠습니다. 먼저 때깔좋은 Magnet Axiom을 실행시킵니다. 새 케이스 생성을 눌러줍니다. 필자는 케이스 번호에 날짜와 포렌식 유형 그리고 사용자.. blog.system32.kr 인스타그램 포렌식에 대한 분석 방법은 위에서 확인할 수 있습니다. 결과 분석이 완료되었으면 우측 하단에서 먼저 시간대를 국가에 따라서 바꿔줍니다. 시간을 바꿔주면 바로 분석을 시작합니다. 총 10,803개의 증거가 ..
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
2020.03.28wmic startup list full wmic startup list brief cmd 에서 위 두 명령어를 사용하면 자동시작 프로그램이 어떤게 등록되어 있는지 확인할 수 있다. wmic startup list full 필자의 경우 여러개의 자동시작 프로그램이 등록되어 있습니다. wmic startup list brief wmic startup list brief 명령어를 사용하면 어떤 커맨드를 사용해서 프로그램이 작동하는지 파악이 가능합니다. 또한 어떤 사용자가 사용하는지를 확인할 수 있습니다. 추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.
[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
MAGNET Axiom - User Guide (Korean) #9 모바일 이미징 문제점
2020.03.07[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. [ 문제 : Magnet Axiom Process 가 Android 기기를 감지할 수 없습니다! ] 컴퓨터와 장치를 준비한 후 Manget AXIOM Process가 여전히 장치를 감지하지 못하면 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다운로드하세요. 가능한 해결책 : 장치 드라이버가 설치되어 있는지 확인하고 Samsung Kies를 다..
[NEWSECU] 2020 NEWSECU CHALLENGE - Event Question 1~3
[NEWSECU] 2020 NEWSECU CHALLENGE - Event Question 1~3
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Network
[NEWSECU] 2020 NEWSECU CHALLENGE - Network
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Disk
[NEWSECU] 2020 NEWSECU CHALLENGE - Disk
2020.02.23
[NEWSECU] 2020 NEWSECU CHALLENGE - Do you know ZIP?