BLOG

- NTFS Volume Layout VBR ( Volume Boot Record ) - 파티션 첫번째의 섹터에 위치 - VBR, BR, 파티션 부트 레코드, 부트섹터 등 다양한 이름으로 불림. 이 중 부트섹터는 상황에 따라 달라 이후 설명하겠음 - BPB ( Bios Parameter Block )를 포함하며 BPB에는 MFT의 시작위치, MFT Entry의 크기, 클러스터 크기 등의 정보 포함 MFT Zone - 볼륨에 존재하는 파일과 디렉토리에 대한 정보를 담고있는 MFT의 영역 - MFT도 파일 형태로 존재함 / 파일 시스템의 성능을 고려해 일정 정도의 영역을 MFT를 위해 임시예약해둠. - MFT의 사이즈가 커지면 $MFT 역시 분할됨. File Area - 볼륨에 존재하는 모든 파일과 디렉토리..

출처 | https://gist.github.com/vhanla/247ee77dd0cdd5449e02e2d517a13019 WSA Client (wsaclient.exe) is the manager UI application for Windows 11's Windows Subsystem for Android platform and here I collect interesting stuff that I found in wsaclient.exe WSA 클라이언트는 윈도우 11 Subsystem For Android platform(Android용 하위 시스템 설정)를 위한 UI 매니저 어플리케이션임. 1. One instance application. 1. 단일 인스턴스 어플리케이션. wsaclient.ex..

Bit ( Binary digit ) // 컴퓨터에서 사용하는 데이터의 최소 처리 단위 2진수를 사용하므로 ( 0,1 ) 밖에 사용하지 못함. Byte (or Octet) // bit가 8개 모여 그룹화 된 것. 한 문자를 표현할 수 있는 최소 단위 바이트 저장 순서 ( Byte Order ) 컴퓨터는 데이터를 저장할 때 byte 단위로 나눠서 저장한다. 16비트(2바이트)가 묶일 때 0x12 0x34 같은 방식인데, 이렇게 연속되는 바이트를 순서대로 저장하는 것이 바이트 저장 순서다. Big endian 방식 = High order First 낮은 주소에 MSB( Most Significant Byte 최상위 바이트 )인 0x12가 먼저 나타나고, 높은 주소에 LSB( Least Significant ..

MSPaint - Recent FilesSoftware\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File ListWordpad - Recent FilesSoftware\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File ListCommon Dialog - OpenSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRUCommon Dialog - Save AsSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU [ Explorer ] - 윈도우 ..

Live Response (실시간 대응) - 현재 기동중인 시스템을 대상으로 휘발성 정보를 수집하는 컴퓨터 포렌식 과정 중 하나다. - 이 행위의 범위는 기동중인 시스템에서 수집 가능한 모든 정보의 수집과 분석, 이를 바탕으로 한 사고 처리 까지이다. 중요성 - 휘발성 저장장치에서만 찾을 수 있는 정보가 존재한다. 1. 네트워크 연결 정보 2. 물리 메모리 덤프 3. 프로세스 정보 4. 로그온 사용자 정보 5. 시스템 정보 6. 네트워크 인터페이스 정보 7. 자동실행 항목 8. 클립보드, 작업 스케줄러 정보 9. 네트워크 패킷 수집 - 휘발성 정보의 수집 순서도 존재하는데, 대표적 문서의 순서를 알아보자. RFC3227 NIST Special Publication 800-86 레지스터, 캐시 네트워크 연..

https://blog.naver.com/bitnang/220692059829 디지털 포렌식 전문가 2급 필기를 딸 때 도움을 줄 정리집입니다.딱 포렌식에만 집중되어있는 게 아니고 네트워크, 자료구조 전부 포함되어있으니자격증용이아닌 그냥 공부용으로 참고하셔도됩니다.

KeyChain 사 에서 개발한 포렌식 분석 툴 KeySpace입니다.파일 포맷 및 로우(raw)데이터 분석도 가능하다고 합니다. 주요기능 다양한 파일시스템 지원 (NTFS, FAT16/32, exFAT, EXT3, EXT4)​​MBR, GPT 기반 파일시스템 분석다양한 이미지 포멧 지원 (E01, Ex01, VMDK)조건 검색 및 파일 타입에 따른 필터 지원 문서 내용에 대한 키워드 검색 로우(Raw) 데이터에 대한 키워드 검색레지스트리 하이브 분석 및 뷰어 지원OLE, OOXML, ZIP 포멧 분석 및 뷰어 지원 ​문서 미리보기 지원 ​대시보드 지원(주요 항목 요약보기)자동 분석 도구 (Autobot) 지원​​ 위와 같은 주요기능을 포함하고 있으며, 다운로드는 아래 링크에서 가능합니다. https:/..

포렌식은 디지털 수사관이나 디지털 범죄, 내부 조사가 시행되고 있는 민간부문에 사용될 정도로 범위가 넓다.사건이 발생하면 발생 현장 주변 CCTV을 먼저 조사하거나, 범인의 컴퓨터를 압수해 그 컴퓨터를 분석한 후증거를 얻어 필요한 조치를 가한다. 또한 일상생활에서 사용하는 사람들의 컴퓨터, 핸드폰은 수많은 흔적이 남아있기 때문에좋은 증거물이 될 수 있다. 이와 같이 정보가 남아있는 디지털 기기들을 분석해 사건을 규명하는 것을 '디지털 포렌식'이라 칭한다.이외에도 파일이 조작된 것인지 검증하거나, 내부 감사에도 디지털 포렌식을 사용하고 있다.이렇게 디지털 포렌식의 중요성은 나날이 커지고 있다. 디지털 포렌식에는 여러 카테고리가 포함될 수 있다. - 컴퓨터 포렌식 - 모바일 포렌식- 네트워크 포렌식 - 포렌..