침해사고대응 (10) 썸네일형 리스트형 파워쉘을 이용한 윈도우10 무선랜 정보 수집 안녕하세요. 무려 1년만의 포스팅인 것 같네요. 코로나-19가 터지고 , 회사에서 여러 변화와 인력의 변화가 있어서 1년은 정말 정신 없이 보냈네요. 안그래도 업무 때문에 체력이 떨어져서 포스팅하는게 만만치 않았는데...그나마도 쉽지 않게 되었었네요. 계정도 카카오계정으로 연동 안되면 안되는.....방식으로 바뀌어 있어서.... 좀 헤매고..ㅎㅎ 암튼... 윈도우 10의 파워쉘을 관리자 모드 (as administrator) 로 실행하고 아래와 같이 간단한 명령 하나라도 무선랜에 대한 정보는 아주 상세하게 확인하실 수 있습니다. 생성된 보고서는 html 형식으로 만들어지고, 꽤나 상세한 형태로 만들어 집니다. 이미지 샘플은 첨부 하지 않았어요...^^ 제 시스템 정보가 너무 노출되서..ㅎㅎ 한번 활용해 .. Incident Analyzer 1.0 Malware Analyser 를 개발한 Neenu Arora 가 개발한 침해사고 대응 도구 입니다. 원래 공개 하기로 한 시점은 5~6월 쯤으로 보이고 , 검색을 하다보니, 한번은 공개했던 것 같은데 , 현재는 링크도 끊기고 해당 파일 다운로드도 지원하지 않고 있네요. 곧 준비해서 발표하겠다고 하는데 , 몇가지 기능이 눈에 띄는군요. Malware Analyzer 와 마찬가지로 저작자는 incident analyser 로 표기 하고 있습니다. 사이트에 공개된 내용은 아래와 같습니다. http://incidentanalyser.blogspot.com/2011/06/incident-analyser-10.html Incident Analyser 1.0 Incident Analyser is a freeware.. AcessData 의 Forensic 이미징 도구 : FTK Imager 3.0 지난주에 좋은 기회가 닿아서 전 세계 포렌식 도구중에 가장 널리 사용되는 도구인 Encase 와 더불어 쌍벽을 이루는 제품인 Access Data 의 FTK 를 접해 보았습니다. 물론 그 이전에도 ftk를 사용안해 본것은 아니지만, 체계적이고 , 전문적으로 사용해 볼 기회가 없었고 , 간단한 기능으로만 접해 봤을 뿐이기 때문에 이번 기회는 저에게는 꽤나 좋은 경험이었습니다. 국내 총판 이면서 국내 유일의 공인 교육기관인 더존정보보호서비스 포렌식센터의 도움으로 FTK 3.x 버전에 대한 공부를 해 볼 수 있습니다. FTK 는 크게 3가지 버전으로 나뉘며 FTK 1.x , FTK 2.x , FTK 3.x 로 나뉘며 ftk 1.x 는 가볍고 사용하기에 편하다는 장점이 있습니다. 현재 3.x 버전은 데이터베이스.. 기본 컴퓨터 범죄 조사 가이드 기본 컴퓨터 범죄 조사 가이드 Tom Cloward and Frank Simorjay 한 눈에 보기: Windows에 대한 기본적인 컴퓨터 조사 가이드 맬웨어 제거 시작 키트 Windows PE로 조사 키트 만들기 범죄 조사 분석을 위한 정보 보존 악의적인 사용자가 컴퓨터를 이용하여 불법 행위를 자행하는 방법은 시스템 해킹, 거래 비밀 정보 누출, 새 바이러스 배포, 피싱 메시지를 사용한 개인 정보 절취 등 셀 수 없이 많습니다. 게다가 새로운 악용 사례와 방법이 끊임없이 출현하고 있습니다. 그러나 컴퓨터를 활용하여 이러한 행위를 조사하는 방법에 대해서는 많이 알려진 바가 없습니다. 고도의 훈련을 받은 전문가를 동원하여 값비싼 도구와 복잡한 기술을 사용해야 하는 조사도 있지만 보다 쉽고 저렴한 방법을 통.. The Desktop Files PsTools 입문서 예전에 보다 정리가 잘된 한글 링크를 알고 있었는데 , 어디 있는지 모르겠네요..@@ 요즘은 머리가 바보가 되서...ㅜㅜ 중요자료 아무대나 놓고 까먹는다는...ㅠㅠ 암튼....침해사고 대응시에 Live Data Collection 을 위해서 많이 사용되는 pstools 의 내용이 잘 정리된 문건이 있어서 올려 둡니다. The Desktop Files PsTools 입문서 Wes Miller 이 기사의 코드 다운로드: MillerTheDesktopFiles2007_03.exe (150KB) 작년까지 필자가 근무했던 Winternals Software는 2006년 7월에 Microsoft에 인수되었습니다. Winternals는 상용 소프트웨어를 판매하는 회사였지만 공동 설립자 Mark Russinovich와.. 윈도우 7에서의 레지스트리 정보 분석 윈도우 7은 기존의 xp 와 달리 변경된 레지스트리 정보가 있습니다. 침해사고 대응 및 포렌식 관점에서 정리해야 하는 내용들을 간략하게 정리해 두었습니다. 설명: 윈도우 익스플로러에서 최근 연 파일 위치: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent 설명: 네트워크 바로가기 위치: C:\Users\\AppData\Roaming\Microsoft\Windows\Network Shortcuts 설명: "실행"에서 실행되었던 최근 프로그램 위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 설명: 최근 열렸거나 저장된 파일 위치: HKEY_CURRENT_USER\Softwa.. 침해사고 대응을 위한 포렌식 시스템 구성 일반적으로 전문적인 법적증거 수집을 위한 Encase 와 같은 도구가 아닌, 침해사고 대응을 위한 시스템으로 리눅스 시스템을 선호합니다. ( : -)물론 솔라리스 시스템의 경우도 동일하게 사용할 수 있습니다. 라이브 포렌식 툴킷의 경우 리눅스 시스템이 더욱 더 선호 되고 있는데 , 현존하는 파일시스템의 거의 대부분 지원하기 때문입니다. 이는 파일시스템을 다양하게 지원하는 리눅스만의 강점이고 할 수 있습니다. ( 별도의 상용 어플리케이션을 사용하지 않은 상태에서 OS 레벨에서 지원하는 파일시스템은 리눅스가 가장 강점을 가집니다.) 암튼...그래서 침해사고 대응을 위한 조사관 시스템을 구성하려고 합니다. ( 솔라리스와 리눅스 동일) 그 때는 하단과 같이 작업하면 됩니다. ====================.. PsLogList 를 이용한 윈도우 시스템 침해사고 대응 및 디지털 포렌식을 위한 이벤트 덤프 활용 본 문서는 기본적인 내용과 옵션 등의 기본적인 사용법만 다루고 있습니다. 본 문서는 아크로뱃 9 이상에서 열립니다. 본 문서는 저작권과 관련한 몇가지 제약이 있으니 , 필히 지켜주시기 바랍니다. 이전 1 2 다음
