ssoL2 TISTORY

공부 1. 보고서 특강 2. Windows eventlog 가 무엇인지, 어디에 저장되는지 등 3. veracrypt를 한 번 사용해 보세요. 1. 보고서 특강 디지털 포렌식 분야에서 보고서 작성의 비중이 높다. 어떤 대회는 점수 비중이 50%나 될 정도로.. 보고서의 전체적인 구성은 다음과 같다. 1) 문제 내용 2) 사용한 도구 목록 (툴 이름, 발행자, 버전, URL) 3) 수집한 아티펙터 목록 ($MFT, $UsnJrnl$J 등) 4) PC 환경 (운영체제, Bit, ReleaseId, IP 주소) 5) 사용기록 타임라인 -> 위에 수집한 아티펙터를 기준으로 시간 순으로 내용이 기록되며, 파일 생성 기록은 NTFS Log Tracker를 사용함 6) 문제 풀이 Writeup 7) reference..

# 2주차는 1주차 풀이 보충 및 공부 X 공부 1. 윈도우 포렌식 도구들 사용법 익히기 2. windows prefetch 가 무엇인지, 어디에 저장되는지 알아보기 (www.forensic-artifact.com/windows-forensics/prefetch) 1. 윈도우 포렌식 도구 1) FTK Imager : 수집된 데이터의 무결성을 보장하기 위해서 정확한 복사본(포렌식 이미지)를 생성하는 도구 더불어 데이터 사전 분석과 정보 검색 RAM 같은 휘발성 데이터 수집도 가능 - 하드 디스크 뿐만 아니라 아래의 저장 장치에서도 데이터 수집 가능 자기미디어 광학 미디어 대체 미디어 플로피 디스크 CD MP3 플레이어 하드 드라이브 CD-R 또는 CD-RW 태블릿 USB/PC 카드 DVD 스마트폰 ZIP ..

공부 1. 주요 파일들의 헤더/푸터 시그니처 공부 2. HxD, foremost 도구 사용법 3. PNG, APNG 파일 구조 1. 주요 파일들의 헤더/푸터 시그니처 공부 - 파일의 데이터를 사용하기 위해 관련 소프트웨어를 이용 -> 이러한 소프트웨어들은 각각 자신만의 고유한 파일 포맷을 만들어 사용 -> 소프트웨어가 어떤 파일을 읽을 수 있다면, 해당 파일의 포맷을 해석 할 수 있다는 뜻 - 파일 시그니처(File Signature) : 파일들은 각각 고유한 포맷을 가지고 있는데, 포맷의 기본이 되는 내용 - 파일의 가장 처음 위치하는 특정 바이트들도 파일 포맷을 구분하기 위해 사용됨 - 파일 시그니처는 파일 처음 뿐만 아니라 마지막에도 존재하는 포맷도 있음 -> 파일 처음에 존재하는 시그니처 : 헤더..