Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 보안
- forensic
- SMS-P 인증 기준 안내서 요약
- The Sleuth Kit
- ISMS-P 인증심사원
- hacking case
- AWS Elasticsearch
- 정보보안기사 실기
- 실습
- 포렌식
- AWS Opensearch
- CFReDS
- k8s
- 정보보안
- artifacts
- AWS EKS
- 정보보안기사
- kubernetes
- AWS EKS Udemy
- 쿠버네티스
- 모의해킹
- AWS 쿠버네티스
- AWS
- 해킹
- TSK
- 보안기사
- isms-p
- iam
- Autopsy
- ISMS
Archives
- Today
- Total
Always-Try(정보보안 및 일상)
포렌식/윈도우 - Windows 10 Artifacts - Web History 본문
본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard)
맥으로 배우는 윈도우즈 포렌식 - 인프런
유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic
www.inflearn.com
#1. Web History
1-1. Web History 란?
설명이 필요한가?
아래는 IE 기준 파일이다. WebCacheV01.dat 파일은 EseDbViewer로 보면 편하게 볼 수 있다.
다만, WebCacheV01.dat의 모든 정보가 다 Web History에 관한 파일은 아니다. 아래 사진과 Directory/Value가 맞는 것만이 Web History에 관한 정보이고 추가로 캐시나 쿠키 다운로드 기록등도 눈여겨 볼만하다.
강의에서는 ese.py 파일을 이용하여 직접 webcachev01.dat 파일을 파싱했다.
ese.py는 크게 아래와 같이 코딩되어 있다.
여기서는 왜 log2timeline , plaso를 안썼냐?
걔네가 이 파일을 파싱하지 못하기 때문이다. 그래서 파싱하는 코드를 만들었다.
이런식으로 도구가 지원하지 않는 것은 코드로 구현하는 것이 필요하다.
끝.
'Forensic' 카테고리의 다른 글
| 포렌식/윈도우 - E01에서 아티팩트 추출 (E01에서 추출한 아티팩트를 타임라인 순으로 csv 저장 실습) (0) | 2021.03.01 |
|---|---|
| 포렌식/윈도우 - Carving (PE 파일 추출 실습 포함-with 010 Editor) (0) | 2021.02.28 |
| 포렌식/윈도우 - Windows 10 Artifacts - Prefetch (0) | 2021.02.27 |
| 포렌식/윈도우 - Windows 10 Artifacts 개요 (추출 실습 포함) (0) | 2021.02.27 |
| 포렌식 기초 - Slack Space 추출 (0) | 2021.02.27 |
'Forensic' Related Articles
more
Comments