Always-Try(정보보안 및 일상)

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 1번 문제 3. 풀이 먼저, 이미지 제공 시 함께 제공 된 Notes(메타 파일)에서 이미지 해시 값을 확인해보자. 그리고 autopsy에 제공한 이미지를 통해 Case를 생성하고, 해시 검증을 위해 데이터 소스를 입력하는 부분에 Notes에서 확인한 SCHARDT.001 의 이미지를 선택하면, 자동적으로 SCHARDT.001 ~ 007 까지의 데이터가 입력된다. 이때 데이터 소스의 MD5 값을 안다면 Hash Values에 입력해주면 되는데, 우리는 데이터 소스를 1개로 합쳤을 때의 hash 밖에 모른다. (출제자가 알려주지 않음..

지난 포스팅에서 Plaso를 이용하여 ELK에 데이터를 저장하고 확인하는 방법을 안내했다. 다만, 단순히 ELK에서 로그 조회 기능으로 사용하기에는 뭔가 아쉬웠다. 왜냐하면 Plaso는 ELK가 아닌 csv로도 타임라인을 만들어주는데, 단순히 ELK의 Discover 메뉴를 통한 조회 기능만 사용했을 때는 csv에 비해 큰 이점을 느끼지 못했기 때문이다. 그래서 ELK에 대해서 더 알아보고 Visualization을 통한 포렌식 대시보드를 만들어봤다. ELK는 공부하는 만큼 활용도가 뛰어날 것 같아서 앞으로도 종종 포스팅할 예정이다. #1. ELK Visualization 1-1. ELK Visualization ELK는 여러 로그 파일을 인덱싱 해주고, 데이터의 여러 필드들을 알아서 인식해준다. 이러한..

본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard) 맥으로 배우는 윈도우즈 포렌식 - 인프런 유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic www.inflearn.com #1. ELK 1-1. ELK란? 검색 엔진인 ElasticSearch, 로그 저장 기능을 하는 Logstash, 시각화 기능을 담당하는 Kibana 이 3개를 합쳐서 ELK 라고 부르며, 다양한 정보들을 빠르게 저장 및 검색할 수 있는 기능을 하는 유용한 프로그램이다. 1-2. ELK 설치..

https://plaso.readthedocs.io/en/latest/sources/user/Parsers-and-plugins.html?highlight=android_app_usage#parser-presets-data-presets-yaml 참고 Plaso에서는 엄청나게 다양한 포맷에 대한 파싱이 가능하다. 아래는 plaso 공식 사이트에서 가져온 Parser 스펙이니, 참고 바란다. (2021년 3월 1일 기준) Parsers NameDescription amcache Parser for AMCache Windows NT Registry (AMCache.hve) files. android_app_usage Parser for Android usage history (usage-history.xml..