amy06s 님의 블로그

분석에 필요한 파일 추출[root]\$LogFile[root]$Extend\$UsnJrnl\$J[root]$MFTNFT Log Tracker 도구로 실행 후 DB 생성DB Browser로 파일을 열어 malware.exe 검색UsnJrnl에서 생성 시간을 찾을 수 있다 2024-04-04 21:10:46(UTC+9)DH{2024_04_04_21_10_46}

$LogFile$LogFile파일시스템의 저널링 기능을 위해 존재하는 파일저널링: 데이터 변경을 디스크에 반영하기 전에 행위를 기록해 오류 발생 시 복구하도록 하는 기능데이터 기록 이전 그 위치와 시점을 별도의 파일에 기록해두고, 문제 발생 시 해당 파일을 참조해 작업이 이루어지기 전 상태로 시스템 복원트랜잭션저널링 단위로, 쪼갤 수 없는 업무 처리의 최소 단위파일 또는 디렉토리 생성, 수정, 삭제 행위가 각각 트랜잭션에 해당함$LogFile은 트랜잭션을 기록하는 파일 $LogFile 수집 및 분석[root]\$LogFile해당 경로에 저장FTK Imager로 해당 파일 추출, 추가적으로 분석에 사용되는 $MFT파일도 추출(동일 경로에 존재)NTFS Log Tracker로 분석 가능도구에 $LogFile..

인프런$MFT 개념 및 실습MFT(Master File Table)NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가짐$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름/생성/수정/변경시간/크기/속성 등을 가지고 있음파일의 디스크 내부 위치, 파일 시스템 경로르 알 수 있음실습FTK Imager 이용[root]\$MFT 추출MFTExplorer 다운로드 (Get-ZimmermanTools에 포함되어 있음) 후 추출한 $MFT 불러오기C드라이브 구조와 동일ADS, Hex 등의 기능 지원MFT에서 얻을 수 있는 정보를 따로 뽑아줌$LogFile, $UsnJrnl 개념 및 실습저널링(Jounaling)데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 ..

“애플·페이팔 메일도 믿을 수 없다” DKIM 리플레이 공격으로 진화한 송장 피싱 주의 “애플·페이팔 메일도 믿을 수 없다” DKIM 리플레이 공격으로 진화한 송장 피싱 주의by 이스트시큐리티 마케팅팀 안녕하세요, 이스트시큐리티입니다. 최근 애플과 페이팔 같은 글로벌 결제 플랫폼의 결제 요청서(Invoice)·분쟁 알림 기능을 악용한 신종 피싱 공격이 전 세계적으로blog.alyac.co.kr 정상 플랫폼 기능을 악용한 송장 피싱 수법공격의 핵심은 플랫폼이 제공하는 공식 기능과 실제 메일 템플릿을 그대로 악용하는 점공격 과정 요약공격자가 애플, 페이팔 등 계정 및 판매자 프로필 생성결제 요청서나 분쟁 알림을 자신의 이메일 주소로 발송그 메일을 별도 변경 없이 여러 피해자에게 다시 전달(포워딩/리플레이)이..

[root]\Windows\Users\{USERNAME}\NTUSER.DAT[root]\Windows\System32\config\DEFAULT[root]\Windows\System32\config\SAM[root]\Windows\System32\config\SECURITY[root]\Windows\System32\config\SOFTWARE[root]\Windows\System32\config\SYSTEM해당 경로의 파일 수집 및 각 파일의 LOG1, LOG2 같이 수집 RLA 도구로 해당 레지스트리들을 dirty 상태에서 clean 상태로 만듦mkdir로 registry_clean 폴더를 만들고 명령어 실행& "C:\Program Files\Get-ZimmermanTools\net9\rla.exe" ..

Section 3Windows ArtifactsWindows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체생성증거: 프로세스, 시스템에서 자동으로 생성한 데이터보관증거: 사람이 기록해 작성한 데이터레지스트리/ $MFT, $Logfile, $UsnJrnl / LNK /JumpList / Recycle Bin / Prefetch & Cache(s) / Timeline / VSS / 웹브라우저 아티팩트 / EventLogs*사용자의 행위에 따라 어디에 어떤 정보가 저장될까? 컴퓨터는 대체 어떻게 동작하는 걸까? Registry윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스-운영체제 및 ..

ftk imager로 열어보면 뭐가 많다..[root] \Users\{USERNAME}\NTUSER.DAT[root] \Windows\System32\config\DEFAULT[root] \Windows\System32\config\SAM[root] \Windows\System32\config\SECURITY[root] \Windows\System32\config\SOFTWARE[root] \Windows\System32\config\SYSTEM해당 경로의 파일들과 각 파일에 대한 LOG1, LOG2 파일 수집Find the USB와 동일하게 수집하고 regisry_clean을 해준다HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunRegistry Explorer에..

레지스트리레지스트리 Windows 운영체제에서 사용자, 시스템, 프로그램 실행과 관련된 수많은 설정들을 저장할 수 있는 계층형 데이터베이스시스템 시간이나 버전과 같은 시스템 정보, 사용자 계정, 환경 변수 등 많은 정보 포함*계층형 데이터베이스: 데이터가 트리 형태의 구조로 조직되어 반복적인 부모-자식 관계를 가지는 것 레지스트리 편집기(Regedit)실행창(Windows+R)에서 regedit를 입력하면 레지스트리 편집기 실행사진처럼 레지스트리 경로와 값을 확인 가능왼쪽 계층형 구조를 보면 상위 폴더와 하위 폴더가 부모-자식 관계를 이루며 이어짐상단 레지스트리 경로에 아래 값을 입력하면 직접 이동HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVers..

AI 열풍 뒤의 그림자: Claude 모듈로 위장한 악성코드 AI 열풍 뒤의 그림자: Claude 모듈로 위장한 악성코드1. 개요 최근 LLM(Large Language Model) 기반의 생성형 AI 시장이 빠르게 성장하면서 다양한 AI 서비스와 모델이 등장하고 있다. OpenAI의 ChatGPT, Google의 Gemini, Anthropic의 Claude 등 여러 기업들이 경쟁적으로blog.plainbit.co.kr1. 개요 LLM(Large Language Model) 기반의 생성형 AI 시장이 빠르게 성장하며 다양한 AI 서비스와 모델 등장ChatGPT, Gemini, Claude 등 기업 환경뿐만 아니라 공공기관, 개인사용자까지 폭넓게 활용문서작성, 프로그래밍, 데이터 분석 등 다양한 업무 자..

디지털 증거 획득1. 증거 획득 방식저장매체 복사: 원본 읽기 => 사본 쓰기저장매체 복제: 원본의 모든 물리적 섹터 => 사본 저장매체, 비트스트림 복제저장매체 이미징: 원본 모든 물리적 섹터 => 이미지 파일, 비트스트림 이미징저장메체 이미지 종류RAW(dd) 이미지E01(Ex01) 이미지AFF, SMART, IDIF2. 증거 획득 장비Rapid Image 7020CSSOLO 4 Forensic Super Kit (Expansion Box + SCSI to SCSI Card)Super Talbeau KitTableau Set (SATA/IDE)PRO'S Electronics Master Kit - Briefcase Style3. 증거 획득 도구FTK Imager지원 파일 형식: RAW/DD, SMAR..