판교 테크노밸리 K기업에서 기밀 유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC +09:00)을 알아내시오. - 파일 트리 확인 D:\디지털포렌식_민병욱\4강\실습\profile\Users\7ester\AppData\Local 마이크로 소프트 외에 다른 어플은 보이지 않으므로 IE 사용을 의심한다. D:\디지털포렌식_민병욱\4강\실습\profile\Users\7ester\AppData\Local\Microsoft\Windows\WebCache 웹 캐시에 있는 WebCacheV24.dat 파일을 ..

1. REGA 툴 설치 2. REGA - 파일 - 레지스트리 분석 클릭 시스템의 사용자 이름은 무엇인가? Natasha 컴퓨터이름은 무엇인가? Win-S550ED416I9 기본 타임존 포맷은 무엇인가? Eastern Standard Time (EST) 탐색기에서 검색한 단어를 모두 고르시오 cookies , carrots 나타샤가 IE에 Typing한 URL주소를 모두 고르시오. www.roman-empire.net www.ucla.edu www.gmail.com 172.16.53.138 기본 IP는 무엇인가? 172.16.53.141 DNS서버IP는 무엇인가? 172.16.53.141 운영체제가 설치된 날짜와 시간은 언제인가?(UTC) 윈도우 설치 정보 – install Date : 2011-06-07..

계정 : tester / 1234 (sudo 계정) 해당 서버는 웹서버로 사용되던 서버이다. 어느날부터인가 비정상 트래픽이 감지가 되었다. 서버 운영자의 얘기로는 바이러스에 감염되었거나 해커에게 공격당한것 같다고 한다.해당 서버를 분석하여 이상 징후를 찾아 분석하여라. 1. 공격자의 아이피는 무엇인가? 192.168.127.131 2. 공격에 사용된 CVE 넘버는 무엇인가? # cve = 취약점을 넘버링해서 정리해둔 것 3. 공격에 취약한 함수는 무엇인가? size=version%28%29%20;%20-- 4. 해커가 침입 후 수정한 파일 목록은? index, wp-content~ 5. 서버에 설치된 악성코드의 이름은? wp-content.php 6. 악성코드가 하는 행위는? 66.6.43.21:80 s..

# 메모리 포렌식 # volatility : 메모리 덤프 분석 툴 , top3 # 덤프 : FTK, encase, 덤프잇(window 한정) cmd 관리자권한 실행 > setup.py build > setup.py install > vol.py -h > vol.py -f data.vmem imageinfo # 어떤 프로파일을 가지고 있는지 확인하기 Suggested Profile(s) : Win2008R2SP0x64, Win7SP1x64, Win7SP0x64, Win2008R2SP1x64 AS Layer1 : AMD64PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (D:\\디지털포렌식_민병욱\\2강\\Tool\\Vol\\volatility\\data.vme..

# accounts 파일의 history adduser dev와 adduser ahnlab 명령어 실행 확인 # accounts 파일의 last_R ahnlab pts/1 Mon Aug 27 10:14 still logged in dev pts/0 Mon Aug 27 10:11 still logged in # accounts 파일의 lastlog dev pts/0 192.168.184.161 Mon Aug 27 10:11:09 +0900 2012 ahnlab pts/1 192.168.184.136 Mon Aug 27 10:14:54 +0900 2012 # accounts 파일의 w dev pts/0 192.168.184.161 10:11 4:47 0.11s 0.11s -bash ahnlab pts/1 1..