일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 생활코딩
- ZIP 파일구조
- Multimeida
- 슬퍼유
- 디지털포렌식 with CTF
- 네트워크관리사2급
- 디지털포렌식
- disk
- CTF-D
- ftz
- 정보처리기사 필기 합격
- 네트워크 보안
- blkls
- Multimedia
- memory
- 윈도우 프로세스 종류
- pythonchallenge
- 실기
- network
- 2022시작
- 포렌식
- 윈도우 프로세스
- Window process
- slack space
- 는 하지마...
- html
- 24시간의 전사
- 생활코딩 html
- vinetto
- N0Named
- Today
- Total
목록sec/forensic (27)
ssoL2 TISTORY
예정. 매우. 자세히. 진짜. 죽여버릴ㄹ꺼야.......... 후.................................... 낱낱이 분석해서 찢어버릴거임 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1 으ㅑ갸갸갸ㅑ갸ㅑㅑㅑㅑㅑ갸ㅑㅑㅑㅑㅑㅑ
Thumbs.db - 윈도우에서 이미지 파일 미리보기를 사용할 때 생기는 파일로, 이미지파일에 접근하기 전에 Thumbs.db파일에서 먼저 확인하여 미리보기 속도를 향상시킨다. vinetto - Microsoft thumbs.db 파일에서 이미지를 추출해주는 기능을 제공한다. sudo apt-get update sudo apt-get install vinetto vinetto [thumbs.db]
보호되어 있는 글입니다.
TSK(The Sleuth Kit)는 Brain Carrier가 File System Forensics을 위해 개발한 도구이다. 지원하는 명령어 도구 중 하나가 [blkls]이다. 슬랙 공간(slack space)란, 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. 파일을 삭제하면 비 할당영역이 생기는데, 파일 삭제의 흔적을 알기 위해서 비 할당영역을 확인하면 증거의 흔적을 발견할 수 있다. blkls의 [-s] 옵션을 이용하면 slack space에 숨겨진 데이터를 읽을 수 있다. blkls의 [-A] 옵션을 이용하면 ..
https://whitesnake1004.tistory.com/591 LNK File Structure LNK File 이란? LNK File은 Shell Link나 Shortcut이라고 불리는 Link File 구조체 라고도 이야기를 하는데 다른 데이터들의 접근하는데에 필요한 정보를 가지고있는 데이터 입니다. Shell Link Binary File Forma.. whitesnake1004.tistory.com
는 이 블로그만 있으면 된다. https://jmoon.co.kr/48 압축_집(Zip)구조 형태 원리 분석 ZIP 파일 형식이란 데이터를 압축, 보관하기 위한 파일형식이다. ZIP 파일은 하나 혹은 여러 개의 파일들을 그 크기를 줄여 압축하고 하나로 묶어 저장한다. ZIP 파일 형식에서는 다양한 종류의 압 jmoon.co.kr 갓갓... 나중에 기회되면 나도 정리해보..겠...다..
1차원 바코드는 정보 저장 능력의 하락으로 2차원 바코드가 도입되었다. 2차원 바코드는 조그마한 사각형 안에 점자, 또는 모자이크 식 코드로 표현한 평면 바코드이다. 이는 가로만 정보를 담았던 1차원 바코드보다 약 100배 이상의 정보를 담을 수 있고, Text는 물론 그래픽, 사진, 음성, 지문, 서명 등 다양한 형태의 정보를 담을 수 있다. 특히 중요한 것은 2차원 바코드는 암호화가 가능해 각종 인증 시스템으로 활용될 수 있다. 1. PDF417 개발사(국가) : Symbol(미국) 방식 : Stack barcode 시장점유율의 1순위로, 주요 특징은 대용량이 가능하다. 2. Data Matrix 개발사(국가) : CI Matrix(영국) 방식 : Matrix 초소형 코드화라는 특이 사항이 존재하고,..
정리하기 위한 목적 : Volatility로 프로세스를 분석하다보면 대부분 윈도우 환경에서의 메모리 덤프였다. 매번 다른 메모리 덤프 이미지를 분석하면서도 반복적으로 나오는 윈도우 관련 시스템 프로세스가 존재하는데 해당 프로세스의 부모-자식 관계나 어떤 역할을 하는 프로세스인지를 잘 모르기 때문에 윈도우 프로세스 종류를 정리함으로써 수상한 프로세스를 더 빠르게 잡아내기 위함이다. 1. csrss.exe - Clinet Server Runtime SubSystem의 약자로, 윈도우 시스템에 기본으로 동작되는 프로세스이다. - 클라이언트 요청에 대한 작업자 thread를 만들거나 삭제하고, 16 bit 가상 MS-DOS의 일부를 구현하는 역할을 하는 마이크로소프트 클라이언트 서버 런타임이다. - 중요 프로세..
https://covert.sh/2020/08/24/volatility-ubuntu-setup/ Set up Volatility on Ubuntu 20.04 Volatility framework The Volatility framework is a set of tools for memory forensics used for malware analysis, threat hunting, and extracting valuable information from RAM. Current versions need Python 2 to be installed. Python 3 support is under developm covert.sh 위 진행과정 다 따라하되, 3번에서 curl https://bootstrap...
nixintel.info/osint/the-secret-life-of-jpegs/ 위 링크 굉장히 도움됨 특별하게 얻은건 exif metadata에서 의문인 점 해결함 1. "Current IPTC Digest" IPTC가 바뀌었는지 확인하는 hash값임. IPTC는 photo를 describe하는 metadata의 표준인듯(?) 암튼, 포렌식 관점에서 중요한건 초보 포렌식러에겐 필요없는 hash인듯 하다..ㅎㅅㅎ(
www.onlinebarcodereader.com/ - 검은색 흰색 색 반전 인식 못함 - 11시, 1시, 7시에 박스 무조건 있어야 인식함
HI 에이치아이~ whitespace steganography 해결 방법 2가지 1. SNOW.EXE Download -> darkside.com.au/snow/index.html 위에서 executable 다운받아서 cmd로 돌리면 되는데, 물론 옵션 '-C' 필요 ! (그냥해) ex) SNOW.EXE -C filename 2. in ubuntu, steghide INSTALL -> sudo apt install stegsnow ex) stegsnow -C filename 1번, 2번 둘 다 같은 제작사인지 모르겠는데 설명 내용이 일치한 것을 보면 같은 것 같음