분 석 내 역 1. 사본 작성정보 가. 이미지 파일에 대한 동일성 확인원본과 사본 해쉬 값 일치여부 확인한 바 다음과 같이 일치하였음 2. 분석도구 가. 분석용 컴퓨터 운영체제 및 사양 - O/S: Microsoft Windows 10 Pro - 모델: H81M-D2V - HDD: C:\111GB D:\465GB, Memory: 8GB 나. 분석용 프로그램 - 분석용: Autoshy - 복구용: Diskeditor - freeware, AccessData FTk Imager 3. 분석 방법 및 내용 4. 분석결과 작성일: 2022. 02. 10 분석자: 김지은 확인자: 김지은
분류 전체보기
파일시스템을 정상화 시켜놓고 접근 은닉, 암호화 외에는 흔적이 남아서 찾을 수 있다. 사원 휴대폰번호 뒤 4자리 조합 MD 5: f70ff77 a876d6 5cddd70 457b2f c5e851 링크파일 찾아 분석하여 볼륨이름 찾기 해시값 띄어쓰기 없애기(이거 안해서 _2로 다시 만듦) Run Ingest Modules -> Hash lookup -> New hash set 해서 돌리기 돌려서 저 해시값을 가진 파일을 찾음 Q1) 2364 1234 Q2) forensic.pdf Q3) PEIM.lnk 볼륨이름은 Tooltest Q1) 사원번호 4자리 조합 사원정보.xml > 2364 1234 Q2) MD 5: f70ff77 a876d6 5cddd70 457b2f c5e851 > forensic.pdf Q..
1) AccessData FTK Imager 프로그램을 이용해 파일을 복구한다. 2) Autopsy 로 복구한 파일을 분석한다. add누르고 dd로 선택 끗 c드라이브의 시작위치를 찾아야 함 파티션 2 C드라이브: NTFS가 나오지 않음 NTFS로 포맷이 되어있지 않음 --> MSDOS5.0 D드라이브: 시작위치 102528 MSDOS5.0는 6칸(---점선 기준) 떨어진 곳에 백업본이 NTFS에는 맨 아래에 있다. 있으면 VBR이 맞음. 80000000 00900100 80900100 00B80400 80000000 00900100 Active disk editor에서 변경 후 save Autopsy 에 붙이기 분석할 것: 유출된 파일 유출된 대가 1. 해시값 검증 내가 보는게 원본이 맞는가? 근데 해..
윈도우 11 무료 업그레이드를 진행했다. 작년 정식 발표 전에 나왔을 때 좀 불안정하대서 꼬일까봐 스킵하고 잊고 살다가 이번에 하게되었다. 내가 업그레이드한 노트북은 LG 그램 18년도 모델이다. 최소 사양 공식 사이트에 기제되어있는 사양은 이렇다. 프로세서 2개 이상의 코어가 장착된 1GHz 이상의 호환되는 64비트 프로세서 또는 SoC(System on a Chip) 메모리 4GB RAM 그래픽카드 DirectX 12 이상(WDDM 2.0 드라이버 포함)과 호환 저장공간 64GB 이상의 저장 디바이스 설치 방법 나는 윈도우 자체 기능인 윈도우 업데이트에서 바로 업그레이드를 했다. microsoft 공식 사이트에서 윈도우 11을 구매하거나 윈도우 10을 구매 후 직접 업그레이드 할 수 있다. 윈도우 1..
디지털 포렌식이란? 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공해 준다는 점에서 획기적인 방법이다. 사이버 해킹 공격, 사이버 범죄 시 범죄자들이 컴퓨터, 이메일 , IT 기기, 휴대전화 등의 운영체제, 애플리케이션,메모리 등에 다양한 전자적 증거를 남기게 되면서, 사이버 범죄자 추적 및 조사에 핵심적인 요소가 되고 있다. (출처: 위키백과 컴퓨터 포렌식) 디지털 증거는 현실적으로 손상되기 쉽고, 부적절한 취급이나 분석 중에 훼손되거나 변경, 조작될 수 있다. 디지털 포렌식에서 디지털증거를 취급하는 경우에는 사건 현장에서의 디지털 증거를 훼손시키지 않도록 수집하고 이를 확인 및 분석 시 손상시키지..
