Always-Try(정보보안 및 일상)

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 네트워크 카드 정보가 어디에 나올까? 일단, 네트워크 카드 목록 관련 레지스트리 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards 네트워크 설정 관련 레지스트리 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces 첫번째의 경로를 확인해보면 아래와 같이 2개의 NIC 카드가 있다. 13번은 클리어! 그런데, 14번 문제를 풀려고 해당 레지스..

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 키워드 검색이라.. Greg Schardt를 검색하면 뭔가 여러개가 나온다는데, 어디서 검색하라는걸까? 일단, autopsy에서 검색 기능이 있는지 확인해보자. 있다. 이 중 Greg Schardt가 컴퓨터의 관리자임을 증명할 만한 파일은 아래와 같다. 위에 있는 irunin.ini가 어느 폴더에 있는지를 찾아가보면 아래와 같이 program Files 아래 Look@LAN 파일이 설치 된 것을 확인할 수 있으며, 관련 실행 파일등이 있는 것을 볼 수 있다.

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 계정? 앞서 본 것 같은 느낌은 왜일까? 여기서 봤기 때문이다. 2021.03.05 - [Forensic] - The CFReDS Project - Hacking Case 6번 (사용자 계정, SAM, SID) with autopsy The CFReDS Project - Hacking Case 6번 (사용자 계정, SAM, SID) with autopsy DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시..

DD image 및 EnCase image는 https://www.cfreds.nist.gov/Hacking_Case.html 참고 1. Hacking Case 시나리오 2. 문제 3. 풀이 대상 컴퓨터의 마지막 종료 시간을 찾아야한다. 컴퓨터 부팅, 종료에 관련 된 기록을 찾아보자. 레지스트리 - HKLM\SYSTEM\ControlSet001\Control\Windows - ShutdownTime - HKLM\Software\Microsoft\WindowNT\CurrentVersion\Prefetcher\ExitTime 윈도우 이벤트 로그 - 시스템 이벤트 로그 - Windows xp: C:\Windows\System32\system32\Config - Windows 7, 10: C:\Windows\S..