Always-Try(정보보안 및 일상)

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 먼저, 메일 관련 레지스트리는 어디일까? 메일 프로그램 관련 레지스트리 - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail SMTP, NNTP 관련 설정 파일 - C:\Program Files\Agent\Data\AGENT.INI Evil의 메일 주소는 whoknowsme@sbcglobal.net NNTP 서버 주소는 news.dallas.sbcglobal.net

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 네트워크 카드 정보가 어디에 나올까? 일단, 네트워크 카드 목록 관련 레지스트리 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards 네트워크 설정 관련 레지스트리 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces 첫번째의 경로를 확인해보면 아래와 같이 2개의 NIC 카드가 있다. 13번은 클리어! 그런데, 14번 문제를 풀려고 해당 레지스..

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 키워드 검색이라.. Greg Schardt를 검색하면 뭔가 여러개가 나온다는데, 어디서 검색하라는걸까? 일단, autopsy에서 검색 기능이 있는지 확인해보자. 있다. 이 중 Greg Schardt가 컴퓨터의 관리자임을 증명할 만한 파일은 아래와 같다. 위에 있는 irunin.ini가 어느 폴더에 있는지를 찾아가보면 아래와 같이 program Files 아래 Look@LAN 파일이 설치 된 것을 확인할 수 있으며, 관련 실행 파일등이 있는 것을 볼 수 있다.

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 계정? 앞서 본 것 같은 느낌은 왜일까? 여기서 봤기 때문이다. 2021.03.05 - [Forensic] - The CFReDS Project - Hacking Case 6번 (사용자 계정, SAM, SID) with autopsy The CFReDS Project - Hacking Case 6번 (사용자 계정, SAM, SID) with autopsy DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시..