Always-Try(정보보안 및 일상)

출처: https://ko.wikipedia.org/wiki/%EC%9C%88%EB%8F%84%EC%9A%B0_%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC #1. 레지스트리 종류 HKEY_CLASSES_ROOT (HKCR): 파일 연결, OLE 객체 클래스 ID와 같은 등록된 응용 프로그램의 정보를 담고 있다. 윈도우 2000 이후로, HKCR은 HKCU\Software\Classes와 HKLM\Software\Classes를 편집한다. 주어진 값이 위의 서브키의 두 곳에 존재하면, HKCU\Software\Classes의 항목을 사용한다. HKEY_CURRENT_USER (HKCU): 현재 로그인한 사용자의 설정을 담고 있다. HKEY_LOCAL_MACHINE (H..

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 설치 날짜를 묻는다. 아마 OS를 설치한 날짜를 묻는 것 같다. 시나리오에 사건이 09/20/04에 발생했다고 했으니, 당연히 그 전이겠지? 참고로 미국의 날짜 표시 형태는 mm/dd/yyyy(월, 일, 년도) 와 같다. 즉, 사건이 2004년 09월 20일에 발생했다는 것이다. 이제 autopsy에서 OS 설치 날짜를 확인해보자. - Data Sources -> View Summary Information 윈도우의 설치 날짜를 확인해야 한다. 음. 그럼 윈도우 설치 정보가 담겨 있는 레지스트리 위치를 찾아보자. W..

https://sleuthkit.discourse.group/t/image-time-zone/1394 Autopsy로 이미지 분석 시, 아래와 같이 Timezone을 선택하게 되어있다. 필자는 한국사람이라 습관적으로 Time zone을 GMT+9 Asia/Seoul로 했는데, 몇가지 에러가 발생했다. 하지만, 분석에 큰 상관이 없어서 무시하고 지내던 도중 아래와 같은 글을 발견했다. 요약하면, 너에게 맞는 Timezone이 어디든 많은 로그와 데이터소스들은 UTC를 따르기 때문에 너도 그냥 Timezone을 UTC로 설정하라는 것이다. 이것은! 자. 위와 같이 Timezone을 UTC가 아닌 것으로 설정했다가 굉장히 큰 오해를 불러일으킬 수 있다. 항상 주의하면서 해야겠다.

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 간단하다. 1번 문제와 마찬가지로 아래 메뉴에서 확인할 수 있다. - Data Sources -> View Summary Information - 또한 기본 드라이브 폴더에 있는 boot.ini 파일에서도 확인 가능하다. Windows XP