보안

* 2.4 버전으로 작성되었고, 주관적인 사용법 내역이다.* Image 버전은 Win7SP0x86 기준이다. 1. 이미지 수집vol.exe -f [dump파일] imageinfo=== 결과 === Suggested Profile(s) : Win7SP0x86, Win7SP1x86Image Type (Service Pack) : 0============위와 같이 정보가 나오고 ImageType에서 서비스팩 버전을 알려준다. 왼쪽에 있을 수록 정확.즉, Win7SP0x86으로 추정. 2. 프로세스 정보 수집.vol.exe -f [dump파일] --profile=Win7SP0x86 psscan- 프로필 인자는 1에서 수집한걸 쓴다.psscan의 경우 죽은 프로세스들도 나온다.pslist의 경우 죽은 프로세스는 ..

AnalyzerMFT 설치- https://github.com/dkovar/analyzeMFT AnalyezeMFT -f 파일명 -o 추출명.csv 로 떨구어서 조회하면 된다. * RefNTFS MFT 엔트리 소개 http://forensic-proof.com/archives/470 NTFS MFT 구조 소개 http://forensic-proof.com/archives/584

* ADS - Alternate Data Stream의 약자이자, 또 다른 데이터 스트림을 생성한다.FAT부터 되었으며, NTFS(New Technology File System)부터 윈도우도 지원을 하기 시작한다. 1. 매킨토시와 호환을 갖추기 위해 ADS가 도입되었다고 하는데, 맥에서 FS는 data, resource(ADS)영역으로 나뉜다.2. 메타데이터와, 데이터를 구분지어 사용하기 위해 도입되었다고 볼 수 있다. * 윈도우 XP까지는 ADS를 통한 Data Hiding을 이용한다면, 아직도 공격이 가능하다. * ADS 생성 방법.1. C:\ADS>echo "Qerogram" > test.txt:hidden2. C:\ADS>echo "Qerogram2" > :ads.txt * ADS 확인 방법- ..