Degital Forensic43 [ctf-d.com] DefCoN#21 #2 문제이다. round.pcap를 와이어샤크를 통해 확인한다. [Statistics] - [Conversations] 기능으로 통신 기록을 살펴본다. 1024번 포트로 패킷이 전송된 것을 확인하였다. 1번 문제에서 사용하였던 와이어샤크의 TCP Stream을 통해 살펴보자. 방대한 양의 패킷이 전송되기 때문에 암호화가 되어있다. NetworkMiner 툴을 통해 확인한다. 이 툴은 각 호스트에 대한 단말의 통합적인 정보를 표현해주기 때문에 분석자가 분석하기 매우 편하다. PCAP 확장자 파일에서 전송된 파일 및 인증서를 다시 생성/재구성 한다. Betty가 Greg에게 보낸 편지 내용을 보면 비밀번호가 있다. 비밀번호: S3cr3tVV34pOn 두 번째 메시지를 보면 특별한 내용은 없다. 세 번째 문자를 .. 2021. 6. 27. [ctf-d.com] DefCoN#21 #1 문제이다. 문제에서는 round1.pcap를 제공하고 있고, 와이어샤크를 통해 열어본다. 여기서 사용하는 툴인 와이어샤크는 자유 및 오픈 소스 패킷 분석 프로그램이다. 패킷을 확인해보자. 17번 패킷을 보면 IRC 프로토콜로 통신한 것을 볼 수 있다. IRC 프로토콜이란, 일련의 규칙과 약속이 관련되어 있는 채팅 시스템으로, 클라이언트/서버 구조의 소프트웨어이다. IRC 프로토콜은 TCP를 사용하며, 대개 6637번 포트를 사용한다. 채팅 데이터가 기록되었을 확률이 높다. [Analyze] - [Follow] - [TCP Stream] 에서 찾을 수 있다. Betty와 Greg의 대화를 볼 수 있었다. 아래 문자열은 16진수로 변환되어 있다. 특수문자를 사용한 점으로 보아 HTML 인코딩 방식을 사용했다.. 2021. 6. 27. [디지털 포렌식] 구글 크롬(Google Chrome) 이메일 분석 환경: Win7에서 크롬 브라우저로 메일을 보낸 후, 브라우저를 종료시키고 10분 기다렸다가 suspend함 1. 일반 모드 메일 내용 2. 일반 모드 메일 결과 - 제목 - 내용 - 발신자 - 수신자 3. 시크릿 모드 메일 내용 4. 시크릿 모드 메일 결과 - 제목 - 내용 - 발신자 - 수신자 2020. 8. 24. [디지털 포렌식] Google Chrome 아티팩트 분석 ( vmem, dmp ) Google Chrome - 일반모드 ( suspend 후 ) [ 검색기록 : doosan bears ] - vmem - 구글에서 Doosan Bears를 검색한 것을 확인할 수 있다 - 메모리 덤프 파일: 검색기록이 남지 않는다 [ 방문 웹사이트 : www.doosanbears.com ] - vmem - 메모리 덤프 파일 [ 다운로드 기록 : doosan.jpg ] - vmem: 어디서 다운 받았는지, 어디에 저장되었는 지까지 뜸 - 메모리 덤프 파일: 저장된 장소까지 뜬다 [ 게시글: 제목 (hello) / 내용 (nice to meet you) ] - vmem - 블로그에 hello 라는 제목의 글을 올린 것이 확인된다 - 어떤 내용으로 올린 것인 지는 확인되지 않는다 - 메모리 덤프 파일: 확인되.. 2020. 8. 24. [디지털 포렌식] 구글 크롬(Google Chrome) 로그 분석 Chrome 로그 분석 Cache 정보 분석 - 전체 파일 구성 - data_0, data_1, data_2, data_3, 데이터 파일 파일 구성 - data_0 파일 - 인덱스 레코드가 저장됨(URL 레코드의 위치 정보 저장) - 오프셋 0x2000부터 0x24 바이트 단위로 저장 - Data_1, data_2, data_3 - URL(URL 레코드에 저장됨), 메타데이터, Cache 데이터 저장 - 오프셋 0x2000부터 블록 단위로 저장 - 블록 단위 • data_1: 0x100 • data_2: 0x400 • data_3: 0x1000 Data_0에서의 인덱스 레코드 구조 • 최초 2 바이트 - 블록의 인덱스 - 0x0001이면 두 번째 블록에 URL레코드가 저장되어 있음 • 3번째 바이트 - .. 2020. 7. 20. [Volatility] 볼라틸리티(volatility) volatility -볼라틸리티는 현재 Window 10을 지원하지 않는다. vmem 파일: 가상 머신 vmware의 메모리 정보를 저장한 파일 imageinfo 명령어 - vol.py –f “C:\Users\USER\Documents\VirtualMachines\MSEdge-Win10-VMware-7e5051c4.vmem” imageinfo Suggested Profile에 출력된 부분이 운영체제명이다. 여기서는 ‘Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418’라는 운영체제명을 사용하고 있다. 프로세스 확인 pslist 명령어: 시스템 프로세스 확인 - vol.py -f “C.. 2020. 7. 17. 이전 1 ··· 4 5 6 7 8 다음
