728x90 반응형 윈도우 포렌식18 윈도우 디펜더 격리된 파일 추출 인케이스에서 E01으로 분석하는 경우 1. 현재 분석중인 디스크를 PC에 마운트한다 2. 마운트된 드라이브가 N:\ 이라는 가정하에 덤프 파이썬 코드를 마운트된 루트 디렉토리에서 실행dump.py는 꼭 윈되우가 설치된 C드라이브 내에서 실행C:\defender>python dump.py -d N:\ 2024. 9. 11. 메타데이터 분석 ($MFT, $LogFile $UsnJrnl) 메타데이더 분석의 경우 파일 시간 조작 확인 특정 시간에 생성 및 삭제된 파일 정보 파일 이름 및 사이즈 정보 $DATA영역에 존재하는 데이터 [$MFT] NTFS 파일 시스템에서 파일,디렉터리를 관리하기 위한 구조 하나의 파일당 하나의 MFT 엔트리를 가짐 $MFT란 MFT엔트리들의 집합 MFT 엔트리 파일의 이름, 생성 / 수정 / 변경시간, 크기, 속성 등을 가지고 있음 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 [$LogFile] 저널링(Jounaling) 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문.. 2024. 1. 22. EnCE 갱신 ENCE 자격증을 취득한지 벌써 3년이 임박하여 갱신 신청을 하였다. 아래는 갱신 신청 방법이다. 1. 신청서 다운 오픈텍스트 ENCE 홈페이지에서 ENCE 갱신(RENEWAL) 메뉴에서 신청서를 다운받는다. 2. 신청서 작성 신청서에 정보를 기입하고 신청서 아래에 명시되있는 오픈텍스트 공식 이메일로 신청서를 전송한다. (주의할점 ENCE 자격증 갱신 조건은 컴퓨터 포렌식, 침해대응 교육 32시간 수료이다.(영문수료증으로 첨부하고 교육생, 교육기관, 수료시간등 명확하게 나와야한다.(이건 뭐 기본적으로 다 명시되있긴하다.) 3. 자격증 갱신만료전에 신청하자!! 자격증 갱신 기간 만료후 신청이메일을 전송하면 갱신료는 500달러이다. 하지만 만료전 이메일을 보내면 50프로 할인이로 250프로다. 꼭 만료전에 .. 2023. 12. 15. E01을 VMDK로 변환한 후 VMWare에서 구동하기(E01 to VMDK) E01에서 VMDK로는 한번에 변환할 수 없으므로 E01 > DD > VMDK 로 변환해야 한다. 1. E01에서 DD는 FTK Imager를 통해 변환하고 2. DD에서 VMDK는 QEMU를 이용한다. FTK Imager에서 E01을 로드한다. E01를 로드한 후 'Export Disk Image'로 DD로 변환한다. DD에서 VMDK로 변환하기 위해 리눅스 환경에서 QMEU를 설치하고 다음 명령어를 실행한다. qemu-img convert -f dd [파일명].dd -pO vmdk [파일명].vmdk 2023. 3. 10. 윈도우에서 부팅시 비트라커(Bitlocker)가 자동활성화 되는 이유 부팅시 비트라커가 자동활성화되는 이유에 대한 내용입니다. 윈도우 8.1 부터 비트라커 자동활성화(=장치암호화) 기능이 생김 부팅시 비트라커 복구 키를 요구하는 전제조건은 4가지이며 모두 충족되어야 함 1. TPM이 활성화된 상태 (레노버T430S는 TPM 2.0 적용) 2. MS에 연결된 계정 사용 3. Modern Standby 기능 활성화 (절전모드 활성화) 4. UEFI 부트 모드 활성화 및 Secureboot 활성화 (보안부팅 활성화) * TPM(신뢰할 수 있는 플랫폼 모듈)은 PC의 보안을 향상하는 데 사용됩니다. BitLocker 드라이브 암호화, Windows Hello 등 서비스에서 암호화 키를 안전하게 만들고 저장하고, 장치에서 원래 사용되어야 할 운영 체제와 펌웨어가 사용되고 있으며 변.. 2022. 12. 16. 비트락커(Bitlocker) 복구 명령 프롬프트(CMD)에서 BitLocker 잠금 해제하기 - Manage-bde BitLocker는 SSD 또는 HDD, 외장 디스크를 암호화하여 익명의 사용자가 무단으로 데이터에 접근할 수없도록 차단하는 강력한 보안 기능입니다. 필자 역시 중요하지만 자주 사용하지 않는 가족사진의 경우 랜섬웨어 등을 방지하기 위해 BitLocker로 보호를 하고 있습니다. 이렇게 보호된 디스크를 잠금 해제하는 기본적인 방법부터 알아보겠습니다. 아래 방법 외에 "제어판 >> 시스템 및 보안 >> BitLocker 드라이브 암호화"에서도 잠금 해제 가능하지만, 굳이 어렵게 돌아가서 잠금 해제할 필요는 없겠죠. BitLocker 잠금 상태와 잠금 해제 상태 잠금 상태와 잠금 해제 상태는 디스크 아이콘 오른쪽에 자물쇠 아이콘.. 2022. 12. 16. 이전 1 2 3 다음 728x90 반응형
