디포2 [SUA][4주차]Windows Registry내용 정리, regedit 등 도구 사용하여 실습 1. Windows Artifacts ->아티팩트란, 사전에서는 인공물, 유물을 의미한다. ->디지털포렌식에서는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미한다. 즉, 윈 도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소들로부터 찾을 수 있는 여러가지 정보이다. 보통 시스템에 생성되는 증거를 2가지(생성증거, 보관증거)로 분류하는데 생성 증거(프로세스, 시스템에 자동으로 생성한 데이터)에 해당하는 것이 아티팩트이다. 2. Registry ->정의 : 레지스트리란, 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층 형 데이터베이스이다. 모든 하드웨어, 운영체제 및 응용 프로그램 설정 정보, 서비스의 중요 데이 터 등이 기록되어 있다. 또한 부팅과정부터 로.. 2022. 7. 4. [SUA][2주차]volatility 명령어 정리 **운영체제 식별 - imageinfo : 메모리덤프의 운영체제 식별 volatility -f __imageinfo__ **프로세스 검색 - pslist : 프로세스 리스트를 시간 순서대로 보여줌 - psscan : 프로세스 구조체 스캔 후 출력, 숨겨진 프로세스 출력 가능 - pstree : pid, ppid 기준으로 구조화하여 보여줌, 최초로 생성되는 프로세스를 제외하고, 모든 프로세스는 부모 프로세스를 복제해 생성되고 계 층관계 트리가 생긴다. 각각의 프로세스는 자식 프로세스와 부모 프로세스에 대한 정보를 가진다. PID(Process ID)는 운영체제에서 프로세스를 구분하기 위해 부여한 번호이다. PPID(Parent Process ID)는 해당 프로세스를 만든 부모 프로세스의 PID를 의미한.. 2022. 5. 5. 이전 1 다음
