Forensic (95) 썸네일형 리스트형 [논문 정리] 메타버스 범죄 동향 및 디지털 포렌식 대응 방안 https://www.notion.so/ukkiyeon/8734773361844d4bb7817a3524c12a33 메타버스 범죄 동향 및 디지털 포렌식 대응 방안 [0] 요약 www.notion.so [ctf-d] GrrCON 2015 #5 이전 글 (#3, #4) https://ukkiyeon.tistory.com/203?category=1058612 재부팅 후에도 지속성을 유지하는 데 사용되는 레지스트리 키? **Run and RunOnce Registry keys** 이 레지스트리 키에 자동실행을 원하는 키 값을 작성하여 등록하면, 윈도우즈 OS에서 자동 실행이 가능하다. 악성코드는 이를 통해 침입 시스템에서의 생명주기를 늘려 악의적 행위를 지속 가능하다. --- Run and RunOnce Registry keys 종류 1) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 2) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre.. [논문 정리] 메모리 포렌식 기반 키워드 매칭을 통한 다크 웹 사용자 행위 분석 보호되어 있는 글입니다. [ctf-d] 윈도우 작업 관리자에서 우클릭... DMP 파일을 확인할 수 있다. DMP는 윈도우즈 메모리 덤프라고 함. 근데 왜 메모리가 아니라 디스크 문제에 있지 ..? 그리고 조금 찾아봤는데 strings로 플래그를 바로 찾을 수 있다고 한 . 다 .. 그래서 HxD로 열면 바로 찾을 수 있 . 다 .. +) 덤프 파일 생성 방법 (.DMP) 1. 작업관리자 실행 2. 우클릭 - 덤프 파일 만들기 3. DMP 파일이 생성되었다. 해결! [Forensic] 바로가기(.LNK), Jumplist 바로가기(.LNK) 'Windows Shortcut' .lnk 확장자 (링크파일) 생성 방법: 사용자가 직접 생성 or 프로그램 설치 시에 생성 or 운영체제가 자동으로 생성 dir 명령어로 바로가기가 lnk 파일이라는 것을 확인 가능 속성 - 대상에서 원본 경로 확인 가능 생성 경로 바탕 화면 %UserProfile%\Desktop (C:\Users\김기연 == %UserProfile% 예약어!) 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu (C:\ProgramData == %ProgramData% 예약어!) %UserProfile%\Appdata\Roaming\Microsoft\WIndows\Start Menu -> 폴더 살펴보면 바로가기 찾을 수 있음 최근.. [DFC 2022] 302 보호되어 있는 글입니다. [ctf-d] 이 파일에서 플래그를 찾아라! / 사진 속에서 빨간색이... 파일 크기가 너무 커서 원본이 여기에 업로드 되지 않는다 .. binwalk로 분석해본 결과, png랑 zlib이 있었는데 경험상 zlib에는 뭐가 없던 경우가 많았지만 그래도 한 번 살펴본 결과 역시 뭐가 없었다. 찾아보니 png를 마지막에 압축할 때 zlib이 사용된다고 한다. HxD로 살펴봐도 딱히 눈에 띄는 부분은 없었다. 스테가노그래피 툴도 사용해봤지만 뭐가 없었다. 애초에 용량이 커서 .. 확인도 어려웠다. 그럼 png 구조적으로 문제가 있는 걸까 싶어 알아보았다. png 파일은 시그니처와 여러 청크들로 구성된다. 헤더 시그니처 (8B) : 89 50 4E 47 0D 0A 이후에 바로 IHDR 청크가 온다. Image Header라는 의미로, 이미지에 대한 기본 정보가 존재하며 상세값은 아래와.. [Forensic] 시스템 파일 ($) 보호되어 있는 글입니다. 이전 1 2 3 4 5 6 ··· 12 다음
