SUA3 [SUA][4주차]Windows Registry내용 정리, regedit 등 도구 사용하여 실습 1. Windows Artifacts ->아티팩트란, 사전에서는 인공물, 유물을 의미한다. ->디지털포렌식에서는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미한다. 즉, 윈 도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소들로부터 찾을 수 있는 여러가지 정보이다. 보통 시스템에 생성되는 증거를 2가지(생성증거, 보관증거)로 분류하는데 생성 증거(프로세스, 시스템에 자동으로 생성한 데이터)에 해당하는 것이 아티팩트이다. 2. Registry ->정의 : 레지스트리란, 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층 형 데이터베이스이다. 모든 하드웨어, 운영체제 및 응용 프로그램 설정 정보, 서비스의 중요 데이 터 등이 기록되어 있다. 또한 부팅과정부터 로.. 2022. 7. 4. [SUA][2주차]volatility 명령어 정리 **운영체제 식별 - imageinfo : 메모리덤프의 운영체제 식별 volatility -f __imageinfo__ **프로세스 검색 - pslist : 프로세스 리스트를 시간 순서대로 보여줌 - psscan : 프로세스 구조체 스캔 후 출력, 숨겨진 프로세스 출력 가능 - pstree : pid, ppid 기준으로 구조화하여 보여줌, 최초로 생성되는 프로세스를 제외하고, 모든 프로세스는 부모 프로세스를 복제해 생성되고 계 층관계 트리가 생긴다. 각각의 프로세스는 자식 프로세스와 부모 프로세스에 대한 정보를 가진다. PID(Process ID)는 운영체제에서 프로세스를 구분하기 위해 부여한 번호이다. PPID(Parent Process ID)는 해당 프로세스를 만든 부모 프로세스의 PID를 의미한.. 2022. 5. 5. [SUA][1주차]디스크 덤프, 마운트, 메모리 덤프 실습 *용어정리* - 디스크 이미징 : 디스크를 파일의 형태로 가져오는 것. - 디스크 마운트 : 디스크 이미징된 파일을 내 컴퓨터에 등록시키는 것. - 메모리 덤프 : 실행중인 메모리를 사진찍듯이 가져와 파일로 저장하는 것. *실습과정* =>FTK Imager 설치 후 Create disk image 눌러주었다. 드라이브를 선택하라는 목록이 나오는데, 크기가 15GB인 USB를 선택했다. =>이미지 타입은 E01을 선택했다. E01은 압축된 포맷이다. =>이미지 Destination Folder의 경로를 설정하고, 이미지 파일 이름은 image로 설정하였다. 그리고 이미지 Fragment Size를 0으로 설정하였는데 이는 쪼개서 저장하지 않겠다는 의미이다. 이후 finish 버튼을 눌렀다. =>약 8분정도.. 2022. 5. 3. 이전 1 다음
