4. What is the timezone setting? 수집된 단말기 이미지의 설정된 시간대는 무엇인지 확인하라고 합니다. 설정된 시간대에 따라 사건 타임라인이 달라질 수 있기 때문에 매우 중요한 요소 중 하나죠? 바로 확인해 보도록 하겠습니다. 레지스트리 정보를 통해 시간대 정보를 확인하는 정보는 아래 이글루 시큐리티를 참고하였습니다. One Step Ahead 이글루시큐리티 보안정보 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다. 전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다. www.igloosec.co.kr HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation 경로에 들어가서 보면 ..

Questions 1. What are the hash values (MD5 & SHA-1) of all images? Does the acquisition and verification hash value match? 나머지 파일들도 동일한 방식으로 해시값을 확인하였으며, 최초 수집된 시점의 해시값과 지금 다운로드하여 분석하는 시점의 해시값이 같은지 확인하여 파일 변조를 확인하는 문제인 듯합니다. 2. Identify the partition information of PC image. PC 이미지 파일에서 파티션 정보를 분별해라고 합니다. FTK imager로 파티션 정보를 확인해 본 결과 아래와 같습니다. partition 1 size : 100MB, filesystem : NTFS, start s..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. Basic Window Live data collection script 1 (작성 중) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 현장에 도착하면 대면 조사하기에 앞서 현장 보존이 우선적으로 진행돼야 하고, 마찬가지로 포렌식 작업 진행시 원본 대상의 수정을 최소화하여 증거를 수집해야 합니다. 현장 장비에서 얻을 수 있는 디지털 증거의 타입은 크게 활성 데이터와 비활성 데이터로 나뉩니다. 이번에 제가 작성 중인 쉘 스크립트도 바로 이 활성 데이터들을 추출해 주는 녀석입니다. (물론 수집 항목의 출력 포맷..

본 티스토리 블로그는 PC에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. File System - MBR Parser 본 네이버 블로그는 모바일에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세... blog.naver.com 안녕하세요! ICMP입니다! 포렌식을 공부한다면 빠질 수 없는 주제인 File System!!! 파일 시스템을 공부하면서 구조체를 헥스 에디터로 따라가면서 공부하는 것도 좋지만 직접 바이너리 값을 파싱 하는 프로그램을 직접 구현해 보는 것도 이해하는데 상당히 도움 되었습니다. 이번 포스팅에서는 제가 파이썬으로 간단하게 구현한 MBR Parser 구조를 간단하게 설명드리도록 하겠습니다. 코드를 보기 전, 연속된 바이너리 값을 ..