전체 글 (47) 썸네일형 리스트형 7. last logon [Question] Who was the last user to logon into PC? ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI ③ 분석 결과 LastLoggedOnUser informant 6. accounts [Question] List all accounts in OS except the system accounts : Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date...) ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SAM\SAM\Domains\Account\Users ③ Security Identifier(SID) (위키백과) 보안식별자(Security Identifier, SID)는 마이크로소프트 윈도우 NT 계열의 운영체제 환경에서 NT/2000 시스템의 네트워크 안의 사용자 그룹이나 사용자와 같은 주체를 식별할 목적으로, 로그.. 5. Computer name [Question] What is the computer name? ① 분석 도구 Registry Explorer ② 관련 경로 HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName ③ 분석 결과 ComputerName INFORMANT-PC 4. timezone [Questioni] What is the timezone setting? ① 분석 도구 Registry Explorer ② 관련 레지스트리 경로 HKLM\SYSTEM\CurrentControlSet\Control\TmeZoneInformation ③ 분석 결과 TimeZone UTC -4 3. OS information [Question] Explain installed OS information in detail. (OS name, install date, registred owner...) ① 분석 도구 Arsenal Image Mounter RegistryExplorer ② 관련 레지스트리 경로 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion ③ 레지스트리 마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영체제의 설정과 선택 항목을 담고 있는 데이터베이스로, 모든 하드웨어, 운영체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어있습니다. 레지스트리는 키(Key)와 값(Value)이라는 두 가지 기본 요소를 포함하고 .. 2. Information of PC image [Question] Identify the partition infroamtion of PC image. ① 분석 도구 AccessData FTK Imager 4.3.0.18 ② NTFS NTFS(New Technology File System)는 윈도우 NT 계열 운영체제의 파일 시스템으로 윈도우 2000, 윈도우 XP, 윈도우 서버 2003, 윈도우 서버 2008, 윈도우 Vista, 윈도우 7, 윈도우 8 등에도 포함되어 있다. NTFS는 FAT와 HPFS(고성능 파일 시스템)을 거쳐 몇 가지 개선이 있습니다. 메타데이터의 지원, 고급 데이터 구조의 사용으로 인한 성능 개선, 신뢰성, 추가 확장 기능을 더한 디스크 공간 활용을 들 수 있습니다. ③ 분석 결과 No. Bootable File Syst.. 1. hash of image file [Question] What are the hash values (MD5&SHA-1) of all image? Does the acquistion and verificatino hash value match? ① 분석 도구 AccessData FTK Imager 4.3.0.18 ② Hash 해시 함수(Hash Function) 또는 해시 알고리즘(Hash Algorithm)은 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수입니다. 해시 함수에 의해 얻어지는 값을 해시 값, 해시 코드, 해시 체크섬 또는 간단하게 해시라고 합니다.(위키백과) MD5(Message-Digest Algorithm 5)는 128비트 암호화 해시 함수입니다. RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이.. [Memory] GrrCON2015 #8 문제 풀이 해커의 정보가 존재한다고 하였다. 아마 계정의 이름이 해커의 이름이 아닐까 생각하였다. 계정의 정보는 MFT에 담겨져 있다. MFT는 Master File Table로 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블이다. volatility에서 mft를 찾아보기 위해서는 mftparser라는 플러그인을 사용하면 된다. vol.py -f vmss 파일> --profile= mftparser flag.txt 파일에 해당 플러그인으로 출력되는 정보를 담았다. flag.txt 파일을 열면 아래와 같이 보인다. 계정 정보니까 'USER'를 키워드로 검색해보았다. 계속 검색해보면 'zerocool'이라는 이름이 나온다. 아마도 이것이 해커의 이름일 것이다. 이후 구글링해보면 아래와 같이 .. 이전 1 2 3 4 5 6 다음
