Forensic
툴 정리
ukkiyeon
2025. 2. 19. 11:57
1. 종합 분석
- FTK Imager
- X-Ways
https://ccibomb.tistory.com/1181 - Magnet AXIOM
- Autopsy
- EnCase
2. 아티팩트
[ESE database]
- ESEDatabaseView
- ESEDBViewer: API 기반 도구
- ESECarve: WebCacheV01.dat과 Windows.edb 파일만 삭제된 레코드 복구 가능
- WebCacheV01.dat
: 인터넷 사용 기록 및 캐시 파일 정보 등을 보관
- SRUDB.dat
: Windows에서 시스템 리소스 사용량을 추적하는 SRUM(System Resource Usage Monitor)의 데이터베이스 파일로, 네트워크 사용량, 앱 사용 기록, 배터리 소모량 등을 기록
- Windows.edb
: windows + s 커맨드 혹은 윈도우 버튼을 클릭했을 때에 나오는 검색 화면을 지원하기 위해 Windows에서 파일 시스템 전체를 인덱싱하는 기능
* 전용 툴 https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
- meta.edb
: %LOCALAPPDATA%\Microsoft\Windows\Setting Sync\metastore
: %LOCALAPPDATA%\Microsoft\Windows\Setting Sync\remotemetastore\v1
3. OSINT
- 검색엔진(Google, Bing, etc.)
- Shodan
- censys
- Criminal IP
- SNS(twitter, Instagram, Telegram, GitHub, Trello, Jira Software)
- Pastebin
- RAID Forums
- etc.
-----> IP, Port, Domain, SSL 인증서, 위협정보 등 수집 가능
- IP, Port
-----> 악성코드 Host IP, Port나 우회용 IP 등
- Domain
-----> 피싱 도메인, 사이버 범죄용 보이스 피싱, 스미싱 앱관리자 도메인 등
- SSL 인증서
-----> 악성코드 자체 SSL 인증서, 인증서 도난 및 도용