분류 전체보기202 [디지털 포렌식] Google Chrome 아티팩트 분석 ( vmem, dmp ) Google Chrome - 일반모드 ( suspend 후 ) [ 검색기록 : doosan bears ] - vmem - 구글에서 Doosan Bears를 검색한 것을 확인할 수 있다 - 메모리 덤프 파일: 검색기록이 남지 않는다 [ 방문 웹사이트 : www.doosanbears.com ] - vmem - 메모리 덤프 파일 [ 다운로드 기록 : doosan.jpg ] - vmem: 어디서 다운 받았는지, 어디에 저장되었는 지까지 뜸 - 메모리 덤프 파일: 저장된 장소까지 뜬다 [ 게시글: 제목 (hello) / 내용 (nice to meet you) ] - vmem - 블로그에 hello 라는 제목의 글을 올린 것이 확인된다 - 어떤 내용으로 올린 것인 지는 확인되지 않는다 - 메모리 덤프 파일: 확인되.. 2020. 8. 24. [디지털 포렌식] 구글 크롬(Google Chrome) 로그 분석 Chrome 로그 분석 Cache 정보 분석 - 전체 파일 구성 - data_0, data_1, data_2, data_3, 데이터 파일 파일 구성 - data_0 파일 - 인덱스 레코드가 저장됨(URL 레코드의 위치 정보 저장) - 오프셋 0x2000부터 0x24 바이트 단위로 저장 - Data_1, data_2, data_3 - URL(URL 레코드에 저장됨), 메타데이터, Cache 데이터 저장 - 오프셋 0x2000부터 블록 단위로 저장 - 블록 단위 • data_1: 0x100 • data_2: 0x400 • data_3: 0x1000 Data_0에서의 인덱스 레코드 구조 • 최초 2 바이트 - 블록의 인덱스 - 0x0001이면 두 번째 블록에 URL레코드가 저장되어 있음 • 3번째 바이트 - .. 2020. 7. 20. [Volatility] 볼라틸리티(volatility) volatility -볼라틸리티는 현재 Window 10을 지원하지 않는다. vmem 파일: 가상 머신 vmware의 메모리 정보를 저장한 파일 imageinfo 명령어 - vol.py –f “C:\Users\USER\Documents\VirtualMachines\MSEdge-Win10-VMware-7e5051c4.vmem” imageinfo Suggested Profile에 출력된 부분이 운영체제명이다. 여기서는 ‘Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418’라는 운영체제명을 사용하고 있다. 프로세스 확인 pslist 명령어: 시스템 프로세스 확인 - vol.py -f “C.. 2020. 7. 17. [디지털 포렌식] 구글 크롬(Google Chrome ) AppData 아티팩트 아티팩트(Artifact)란 사전적 의미로는 ‘인공물’, ‘유물’이라고 해석된다. 디지컬 포렌식에서 아티팩트(Artifact)의 의미는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말한다. 보통 시스템에 생성되는 증거를 생성 증거와 보관 증거로 분류하는데 생성 증거에 해당하는 것이 아티팩트(Artifact)이다. 예를 들어, 윈도우 시스템의 생성 증거(아티팩트)로는 레지스트리, 프리/슈퍼패치, 이벤트 로그 등이 있다. 보관 증거의 예로는 직접 작성한 메일 내용, 블로그 및 소셜 네트워크 작성 내용, 직접 작성한 문서 등이 있다. 보관 증거의 경우, 고의가 들어간 데이터이기 때문에 전문 법칙이 적용되어 증거로 인정받기 위해서는 전문 법칙의 예외 규정을 따져봐야 한다. 하지만, 생성 증거의 .. 2020. 7. 17. 이전 1 ··· 31 32 33 34 다음
