Forensic/study (19) 썸네일형 리스트형 MP4 구조 ftyp 컨테이너파일 타입과 파일 호환 포맷 내용 mdat 컨테이너각 track에 따라 실제 비디오, 오디오 스트림 데이터를 포함, 비디오와 오디오 채널별로 2개의 mdat 존재 가능, 1개의 mdat에 2개의 채널이 순차적으로도 존재 가능 moov 컨테이너컨텐츠에 대한 정보와 재생 기능 지원Sync 정보 및 파일 재생을 위한 모든 정보가 포함파일이 포함하는 모든 동영상 스트림 데이터 개수만큼 track 정보가 보관되기에 영상에서 비디오와 오디오 채널 등에 대한 정보를 확인 가능 [논문 정리] 비트코인 지갑의 아티팩트 분석 연구 보호되어 있는 글입니다. GPT(GUID Partition Table) GPT가 필요한 이유 GPT 구조0번 섹터에 MBR1번 섹터에 Primary GPT Header2번 섹터부터 Primary Partition Entry실제 파티션Backup Partition EntryBackup GPT Header Primary GPT Header0x1D1C596F == 488,397,167번 섹터에 백업 헤더 존재0x1D1C594E == 488,397,134번 섹터에 Last usable LBA 존재 (즉, 488,397,135번 섹터에 백업 파티션 엔트리 존재)0x2 == 2번 섹터가 Starting LBA of Entries따라서 2번 섹터를 확인 Primary Partition Entry 각각 파티션의 First LBA, Last LBA 즉 파티션 시작 섹터와 끝 섹터를 나.. ZIP 보호되어 있는 글입니다. [Forensic] Windows Timeline https://ukkiyeon.notion.site/Windows-Timeline-16e0d2d4e19e47e6a71aed2b9b07b539 Windows Timeline Windows Timeline ukkiyeon.notion.site [Forensic] 웹 포렌식 보호되어 있는 글입니다. [Forensic] Prefetch, MUICache, AmCache & ShimCache 응용 프로그램 (exe) 실행에서 남는 아티팩트들 -> 악성 프로그램 추적에 도움 포렌식을 위한 게 아님. -> 이 아티팩트들이 윈도우에서 왜 필요한지 알자. Prefetch 먼저 분석하고, 나머지로 교차 검증 수행시 효과적 [1] Prefetch 응용 프로그램의 빠른 실행을 위해 존재하는 파일. RAM에 별도의 prefetch 영역을 할당하여 최근에 실행한 프로그램을 HDD에서 로드하지 않고 CPU가 빠르게 불러와 처리할 수 있도록 함. 응용 프로그램을 실행할 때에 생성 실행 파일 이름, 경로 실행 파일의 실행 횟수 실행 파일의 마지막 실행 시간 실행 파일의 최초 실행 시간 경로 %SystemRoot%\Prefetch (C:\Windows\prefetch) 분석 툴: WinPrefetchView htt.. [Forensic] 바로가기(.LNK), Jumplist 바로가기(.LNK) 'Windows Shortcut' .lnk 확장자 (링크파일) 생성 방법: 사용자가 직접 생성 or 프로그램 설치 시에 생성 or 운영체제가 자동으로 생성 dir 명령어로 바로가기가 lnk 파일이라는 것을 확인 가능 속성 - 대상에서 원본 경로 확인 가능 생성 경로 바탕 화면 %UserProfile%\Desktop (C:\Users\김기연 == %UserProfile% 예약어!) 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu (C:\ProgramData == %ProgramData% 예약어!) %UserProfile%\Appdata\Roaming\Microsoft\WIndows\Start Menu -> 폴더 살펴보면 바로가기 찾을 수 있음 최근.. 이전 1 2 3 다음
