Always-Try(정보보안 및 일상)

https://plaso.readthedocs.io/en/latest/sources/user/Parsers-and-plugins.html?highlight=android_app_usage#parser-presets-data-presets-yaml 참고 Plaso에서는 엄청나게 다양한 포맷에 대한 파싱이 가능하다. 아래는 plaso 공식 사이트에서 가져온 Parser 스펙이니, 참고 바란다. (2021년 3월 1일 기준) Parsers NameDescription amcache Parser for AMCache Windows NT Registry (AMCache.hve) files. android_app_usage Parser for Android usage history (usage-history.xml..

본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard) 맥으로 배우는 윈도우즈 포렌식 - 인프런 유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic www.inflearn.com #1. Timeline 1-1. Timeline 이란? 아티팩트, 이벤트들을 시간순으로 정렬하는 것을 얘기한다. 1-2. Plaso Plaso로 파싱할 수 있는 항목들은 엄청 많다. 이 항목에 대해서는 별도로 포스팅해야 될 것 같다. 1-3. E01에서 추출한 아티팩트를 타임라인 순으로 cs..

본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard) 맥으로 배우는 윈도우즈 포렌식 - 인프런 유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic www.inflearn.com #1. Carving 1-1. Carving 이란? 덩어리에서 필요없는 부분을 제거한다는 의미이며, 특정 확장자에 대한 파일들만 추출하고 싶을때 카빙한다라고 한다. 근데 탐색기에서도 볼 수 있는데 왜 카빙을 할까? 이는 탐색기는 지워진 파일이나 인식이 되지 않는 내역은 접근하지 못하기 때문이..

본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard) 맥으로 배우는 윈도우즈 포렌식 - 인프런 유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Microsoft Windows 정보보안 온라인 강의 forensic www.inflearn.com #1. Web History 1-1. Web History 란? 설명이 필요한가? 아래는 IE 기준 파일이다. WebCacheV01.dat 파일은 EseDbViewer로 보면 편하게 볼 수 있다. 다만, WebCacheV01.dat의 모든 정보가 다 Web History에 관한 파일은 아니다..