728x90 반응형 전체 글69 카카오톡 대화내용 복구(Kakaotalk.db) 1. 카카오톡 복호화 이번 2021 KDFS DFC 문제에 카카오톡 대화내역을 분석해야 할 일이 있어서 찾은 카카오톡 데이터 복호화 방법과 관련해서 포스팅 해보겠습니다. 카카오톡의 대화내역 암호화 방법은 카카오톡 어플을 디컴파일해서 소스코드를 보면 알 수 있다고 합니다. 이에 대해서는 이미 많은 분들이 분석을 진행하셨더라구요. 분석을 하셨던 분들이 내린 결론은 카카오톡의 정수 형태 사용자 ID 값을 암호화 키 값으로 사용한다는 것입니다. 그래서 카카오톡 ID 값을 복호화 키로 사용하고 복호화 소스코드를 작성해서 복호화를 하면 대화내역 원문을 얻어낼 수가 있다는 것입니다. 그런데 분석 방법을 포스팅하신 분들이 복호화 코드는 또 공유를 안하셔서 이리저리 찾다가 깃허브에서 카카오톡 복호화 코드를 찾을 수 있었.. 2022. 10. 17. 비타민D를 먹는 최악의 시간! 비타민D는 항바이러스 효과로 1순위라고 알려져 있어서 독감주사보다도 더 중요하다고 합니다. 하지만 제대로 먹지 못한다면 효과가 없다고 하는데요 언제 어떻게 비타민D를 섭취를 해야 할까요???? 일단.....제대로 먹기전에 제대로 구입해야되겠죠?? 비타민D2보다는 비타민D3를 복용하는게 훨씬 몸에 효과적이라고 합니다. 식물성보다는 동물성이 더 좋다는 이야기네요 알약도 있고 물약도 있고 캡슐도 있는데요 이 중에서는 연질 캡슐 형태가 가장 이상적이라고 합니다. 액상도 전혀 문제가 없고 이것이 더 맞다면 이것으로 섭취해도 된다고 합니다. 사람마다 맞는게 틀리기 때문에 3가지 형태로 나오는건데요 D3와K2가 같이 복합도니 형태가 아주 좋은 선택이라고 할수 있습니다. 비타민D는 지용성이라서 음식에 지방이 많이 있어.. 2022. 10. 15. 매크로에 비밀번호가 있는 경우 매크로 추출하는 방법(VBA 추출) 아래 그림과 같이 문서에서 매크로를 실행하면 비밀번호가 걸려있어 매크로 내용이 확인되지 않는다. 1. 문서명.doc > 문서명.zip 으로 압축파일로 확장자 변경한다. 2. zip 압축파일 열기 vbaProject.bin 을 압축파일에서 꺼낸다. 3. Hex 에디터 실행, 문자열 DPB 검색 4. DPB 문자열을 DPx로 변경 후 저장 5. 2.의 zip 파일의 원본 vbaProject.bin을 DPx로 변경한 vbaProject.bin 파일로 변경 6. 문서.zip파일을 다시 문서.doc로 변경 7. 문서 열면 오류발생 YES 눌러줌 8. Alt+F11 누르고 Project 오른쪽마우스클릭 > 속성 > 비밀번호를 쉽게 변경 후 문서저장 후 닫기 9. 다시 문서 실행, Alt+F11 하면 매크로가 살아있음 2022. 10. 15. EnCase 해시 셋(Hash Set) 만들기 1. 일부 파일 해시값 계산 좌측의 Tree Pane에서 체크박스에 체크를 해주면 해당 폴더의 모든 파일이 선택됩니다. 그리고 Table Pane에서 우클릭을 하고 Entries->Hash/Sig Selected...를 선택해줍니다. 그러면 아래그림과 같은 창이 뜨는데 해시값을 계산할 수도 있고 파일시그니처를 검증할 수도 있습니다. 저는 해시값 계산만 해보겠습니다. 작업이 끝나고 증거 창을 새로고침하면 해시값이 계산되어 있는것을 확인할 수 있습니다. 2. 모든 파일 해시값 계산 이번에는 이미지에 존재하는 모든 파일에 대해 해시값을 계산하는 방법을 해보겠습니다. Evidence탭의 Home에서 해시값을 구할 이미지 파일을 선택해주고 상단의 Process Evidence->Process 기능을 선택합니다. .. 2022. 10. 14. 볼륨 쉐도우 카피 분석 Volume Shadow Copy Analysis 볼륨 섀도 카피 분석 :: Volume Shadow Copy Analysis * VSC 배경 - 핵심적인 윈도우 시스템 파일을 백업해서 시스템 복원을 돕기 위해 윈도우 XP(시스템복원지점:System Recovery Point) 출시와 함께 도입 - 윈도우 Vista 출시 후 VSS 지원기능 확대 : "블록-레벨", "스냅샷(수정된 정보만 저장)" 기능 등 * VSC 활용 - 삭제된 파일 복구/흔적 확인 : filelist.xml에 되어 있는 파일들은 삭제될 경우 복사본인 백업 파일 생성 됨, Shift+Del 삭제는 흔적만 확인 가능 - 설치/제거된 프로그램 목록 : 삭제된 파일과 마찬가지로 윈도우 설치관리자에 의해 설치/삭제된 프로그램 목록도 확인 가능 - 악의적인 드라이버 설치 흔적 : WHQL에 .. 2022. 10. 14. [포렌식] 쉘백 분석(Shellbag analysis) Shellbags (Windows10) Shellbag이란? 1-1. 정의 Shellbags란 User Registry Hive 파일 (ntuser.dat/usrclass.dat) 의 ShellBag의 하위키이며 사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보가 기록되며 최초로 폴더를 열람시에 생성이 된다. 또한 폴더의 생성, 복사, 압축 프로그램에 의해서 실행되었을 경우에도 생성된다. NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장한다. UsrClass.dat는 데스크톱, ZIP파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장한다. 1-2. 포렌식적.. 2022. 10. 11. 이전 1 ··· 6 7 8 9 10 11 12 다음 728x90 반응형
