728x90 반응형 윈도우 포렌식18 크롬 브라우저 계정정보 추출(비밀번호 복호화) 크롬 브라우저에 비밀번호를 저장하는 것이 안전하다고 생각하십니까?나 나의 대답은 "아니오" 입니다. 몇 초 안에 모든 암호를 해독할 수 있습니다. 편리함에는 대가가 따른다 Chrome은 사용자의 편의를 위해 로그인이 필요한 Site마다 ID와 패스워드를 기억하는 기능을 제공한다. 일반적으로 패스워드의 경우 일방향 암호화를 이용하여 저장되어야 하지만 크롬에서 제공하는 자동로그인의 경우 패스워드를 평문으로 기억해야 하는 경우라면 암/복호화가 가능한 알고리즘으로 로컬 내 저장하는 방식이다. 웹 사이트 암호를 해독하기 위해 Windows 로그인 프롬프트에 사용자 이름과 암호를 입력합니다. 잘못된 안전감 솔직히 말해서 Windows 로그인 프롬프트는 약한 보안 기능입니다. Chrome이 프롬프트 없이 비밀번호 필.. 2022. 10. 28. 윈도우 MFT 분석 analyzeMFT 도구 사용 Windows OS는 NTFS 파일 시스템을 사용한다. NTFS 파일 시스템은 MFT(Master File Table)에 파일의 메타 데이터를 저장한다. 파일 메타 데이터에는 파일의 생성, 수정, 접근 시각 등의 포렌식 관점으로 중요한 정보들이 들어있다. $MFT는 이런 MFT 엔트리들의 집합이다. 그렇다면 $MFT 파일이 어딨고 어떤 정보가 들어있는지 확인해보자. MFT는 시스템 드라이브(일반적으로 C 드라이브) 바로 아래에 존재한다. $가 붙은 파일들은 시스템 관련 파일로써 일반적인 방법으로는 볼 수도 없다. 해당 파일을 찾았으니 이제 내용을 볼까? microsoft-windows...어쩌구 저쩌구하는 문자열이 보이지만 나머지 값들이 무얼 뜻하는지 알아보기 힘들다. 하나하나 메타데이터 길이별로.. 2022. 10. 26. 카카오톡 대화내용 복구(Kakaotalk.db) 1. 카카오톡 복호화 이번 2021 KDFS DFC 문제에 카카오톡 대화내역을 분석해야 할 일이 있어서 찾은 카카오톡 데이터 복호화 방법과 관련해서 포스팅 해보겠습니다. 카카오톡의 대화내역 암호화 방법은 카카오톡 어플을 디컴파일해서 소스코드를 보면 알 수 있다고 합니다. 이에 대해서는 이미 많은 분들이 분석을 진행하셨더라구요. 분석을 하셨던 분들이 내린 결론은 카카오톡의 정수 형태 사용자 ID 값을 암호화 키 값으로 사용한다는 것입니다. 그래서 카카오톡 ID 값을 복호화 키로 사용하고 복호화 소스코드를 작성해서 복호화를 하면 대화내역 원문을 얻어낼 수가 있다는 것입니다. 그런데 분석 방법을 포스팅하신 분들이 복호화 코드는 또 공유를 안하셔서 이리저리 찾다가 깃허브에서 카카오톡 복호화 코드를 찾을 수 있었.. 2022. 10. 17. EnCase 해시 셋(Hash Set) 만들기 1. 일부 파일 해시값 계산 좌측의 Tree Pane에서 체크박스에 체크를 해주면 해당 폴더의 모든 파일이 선택됩니다. 그리고 Table Pane에서 우클릭을 하고 Entries->Hash/Sig Selected...를 선택해줍니다. 그러면 아래그림과 같은 창이 뜨는데 해시값을 계산할 수도 있고 파일시그니처를 검증할 수도 있습니다. 저는 해시값 계산만 해보겠습니다. 작업이 끝나고 증거 창을 새로고침하면 해시값이 계산되어 있는것을 확인할 수 있습니다. 2. 모든 파일 해시값 계산 이번에는 이미지에 존재하는 모든 파일에 대해 해시값을 계산하는 방법을 해보겠습니다. Evidence탭의 Home에서 해시값을 구할 이미지 파일을 선택해주고 상단의 Process Evidence->Process 기능을 선택합니다. .. 2022. 10. 14. 볼륨 쉐도우 카피 분석 Volume Shadow Copy Analysis 볼륨 섀도 카피 분석 :: Volume Shadow Copy Analysis * VSC 배경 - 핵심적인 윈도우 시스템 파일을 백업해서 시스템 복원을 돕기 위해 윈도우 XP(시스템복원지점:System Recovery Point) 출시와 함께 도입 - 윈도우 Vista 출시 후 VSS 지원기능 확대 : "블록-레벨", "스냅샷(수정된 정보만 저장)" 기능 등 * VSC 활용 - 삭제된 파일 복구/흔적 확인 : filelist.xml에 되어 있는 파일들은 삭제될 경우 복사본인 백업 파일 생성 됨, Shift+Del 삭제는 흔적만 확인 가능 - 설치/제거된 프로그램 목록 : 삭제된 파일과 마찬가지로 윈도우 설치관리자에 의해 설치/삭제된 프로그램 목록도 확인 가능 - 악의적인 드라이버 설치 흔적 : WHQL에 .. 2022. 10. 14. [포렌식] 쉘백 분석(Shellbag analysis) Shellbags (Windows10) Shellbag이란? 1-1. 정의 Shellbags란 User Registry Hive 파일 (ntuser.dat/usrclass.dat) 의 ShellBag의 하위키이며 사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보가 기록되며 최초로 폴더를 열람시에 생성이 된다. 또한 폴더의 생성, 복사, 압축 프로그램에 의해서 실행되었을 경우에도 생성된다. NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장한다. UsrClass.dat는 데스크톱, ZIP파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장한다. 1-2. 포렌식적.. 2022. 10. 11. 이전 1 2 3 다음 728x90 반응형
