본문 바로가기

security/포렌식

(43)
윈도우의 바이너리 기반 부트관련 로그 및 분석 도구 테크넷 김재벌 입니다. 윈도우에서 부트 관련 로그가 bootstat.dat 파일에 저장되고 있는데, 이는 DFIR 관점에서 중요한 정보를 내포할 수 있습니다. 이 파일의 이름과 경로는 아래와 같습니다. $bootstatFilename = "C:\Windows\bootstat.dat" 하지만, 이 파일은 바이너리 파일로 이 파일을 분석하려면 문자열을 파싱해서 추출하는 방법을 사용해야 합니다. 트위터를 통해 해당 정보를 확인했고 , 이 문제를 인식한 분이 직접 파워쉘로 이를 분석하는 스크립트를 작성하여 공개 했습니다. 추후 활용, 응용하면 꽤나 의미 있는 분석을 할 수 있을 것 같네요. https://github.com/gtworek/PSBits/blob/master/DFIR/Extract-BootTimes..
파워쉘을 이용한 윈도우10 무선랜 정보 수집 안녕하세요. 무려 1년만의 포스팅인 것 같네요. 코로나-19가 터지고 , 회사에서 여러 변화와 인력의 변화가 있어서 1년은 정말 정신 없이 보냈네요. 안그래도 업무 때문에 체력이 떨어져서 포스팅하는게 만만치 않았는데...그나마도 쉽지 않게 되었었네요. 계정도 카카오계정으로 연동 안되면 안되는.....방식으로 바뀌어 있어서.... 좀 헤매고..ㅎㅎ 암튼... 윈도우 10의 파워쉘을 관리자 모드 (as administrator) 로 실행하고 아래와 같이 간단한 명령 하나라도 무선랜에 대한 정보는 아주 상세하게 확인하실 수 있습니다. 생성된 보고서는 html 형식으로 만들어지고, 꽤나 상세한 형태로 만들어 집니다. 이미지 샘플은 첨부 하지 않았어요...^^ 제 시스템 정보가 너무 노출되서..ㅎㅎ 한번 활용해 ..
comae.io 메모리 분석 도구 모음 ( dumpit ) 포함 안녕하세요 테크넷 마스터 김재벌 입니다..^^ 침해사고 대응을 위해서 다양한 도구가 활용되는데 , 그중에 메모리 포렌식을 위해 메모리 덤프는 필수적이죠. 그중에 널리 사용되는것이 moonsols 의 dumpit 인데 , 어느날 찾아보니 , 사이트가 리뉴얼 되고 툴 구하는게 어려워져서 저도 가지고 있는 버전만 활용했었습니다. 그런데 , moonsols 가 아래 사이트로 변경되고 툴도 세트 형태로 나오더군요. https://my.comae.io/login 해당 도구를 다운 받기 위해서는 회사 메일이 있어야만 가능하고 , 인증 메일로만 로그인도 가능해서 공부하시는 분들이 활용하기에는 어려워 보여서 아예 다운 받아서 공유해 둡니다. dumpit 이외에도 Bin2DMP.exe , DMP2Bin.exe , Hibr..
메모리 카빙 및 패킷 분석 보호되어 있는 글입니다.
plaso 를 이용한 log 분석 ( log2timeline ) 1. 설치 https://github.com/log2timeline/plaso/wiki/Windows-Packaged-Release - python 2.7 - vcredist_x86.exe 2. Download.zip https://github.com/log2timeline/plaso test_data 폴더에 다양한 실습 파일 존재 3. 실습 https://github.com/log2timeline/plaso/wiki/Using-log2timeline log2timeline.exe test.plaso registry_test.dd psort -a -q test.plaso
timestomp(타임스톰프)-GUI 입니다. 안녕하세요 테크넷 마스터 김재벌 입니다.포렌식에서 중요한 타임라인 정보 수집시에 MFT내에 존재하는 $STANDARD TIME ATTRIBUTE 속성의 시간 정보를 변경할 수 있는 도구인 timestomp 의 GUI 버전 입니다. 포렌식의 유명한 분석가이자 저자인 할랜카비의 책에도 timestomp.exe (CLI) 도구 를 구하는게 어려웠다고 하네요.찾아볼려다가 귀찮아서...^^학습용이니 GUI 버전으로도 충분할 것 같습니다. 그럼...^^
안티포렌식 slacker 를 이용한 슬랙 공간 활용 안녕하세요 테크넷 마스터 김재벌 입니다. 좀 고전(?)이라면 고전이 도구인 slacker.exe 입니다.해당 파일은 암호가 걸려 있습니다. ( 악성코드로 탐지 됨. - 크롬 ) slacker를 이용하여 슬랙 공간을 조작할 수 있는데 , 자료는 제법 많은데 툴 다운로드 링크가 많이 끊어졌네요.그래서 , 찾아서 다운로드 링크해 둡니다. 해당 매뉴얼은 http://www.jbbrowning.com/sandbox/slacker_how_to_101.pdf 여기에서 구했습니다. 동일 합니다.
Belka Live Memeory Capture Tool Belka 소프트라는 업체에서 만든 라이브 메모리 캡쳐 도구가 공개 되었습니다. 해당 도구는 무료 입니다. http://forensic.belkasoft.com/en/ram/download.asp 해당 사이트에 E-mail 을 등록하고 나면 다운 받을 수 있으며, 해당 프로그램은 32비트와 64비트 두개 버전으로 나뉘어 집니다. 다운로드 압축을 해제하면 실행파일과 드라이버 파일(.sys) 로 된 파일을 볼수 있습니다. 해당 실행 파일을 실행하면 다음과 같은 화면을 볼 수 있습니다. 기존에 공개된 다른 라이브 메모리 캡쳐 도구와의 차별성은 보여지지 않습니다..ㅡ,.ㅡ;그래도 생각보다는 안정적으로 캡쳐가 진행되고 , 수행됩니다.일부 라이브 캡쳐 도구들이 너무 많은 기능을 제공하기 위해서 무겁거나 , 불안정스..