본문 바로가기

Security/Forensic

안드로이드 이미징 0) 준비사항- 안드로이드 단말 루팅- Busybox 앱 설치 1) ADB를 이용하여 포트포워딩adb forward tcp:8888 tcp:8888 2) 안드로이드 단말에서 로우데이터 전송 준비adb shelldd if=/dev/block/mmcblk0 | busybox nc -l -p 8888 3) 안드로이드 단말에 접속하여 로우데이터 다운로드nc 127.0.0.1 8888 > device_image.dd * ssh 이용한 이미징ssh root@iphone.ip dd if=/dev/rdisk0s21s1 bs=4096KB | dd of=iphone.img 더보기
log2timeline 사용 예제 Using Log2TimelineLog2Timeline and forensic timeline creation Creating timeline w/mmls, fls, log2timeline This is really written with an image of a Windows system in mind. This was written as a guide for our lab (and me, to help remember), so keep in mind it's not necessarily intended to be a polished presentation. Some things were added/changed as my use of l2t progressed. The big difference be.. 더보기
포렌식 메모리 분석(w/Volatility) 주요 명령어volrip : registry 추출 psscan : 프로세스 정보malfindorphanthreadsmutantsacnldrmodulesapihookmemdumpprocexedump 분석단계메모리 이미지 확인 vol.py -f imageinfo 파일 위치, 이미지 형태 지정 export VOLATILITY_LOCATION=/case/memory.img (동작을 안함.. 이유는 고민중..)export VOLATILITY_PROFILE=WinXPSP2x86 메모리 추출 (from hiberfil.sys)vol.py -f /case/hiberfile.sys imagecopy -O hiberfil.raw 프로세스 확인vol.py pslist -f --profile=WinXPSP2x86 -p => E.. 더보기
포렌식 메모리 분석(w/Redline) 메모리구조 - 식별 KPCR(Kernel Processor Control Region), KDBG(Kernel Debugger Datablock), KDBG(_KDDEBUGGER_DATA64의 약자) KPCR - 사용하고 있는 CPU의 정보를 담고 있는 구조체 - 구조 분석 EPROCESS, PEB(Process Environment Block), VAD(Virtual Address Descriptor), DLLs, Kernel modules, drivers - 내용 확인 후킹탐지, 시그니처 확인 프로세스분석- Image Name, Full Path, Parent Process, Command Line, Start Time, Security IDs(실행계정) 예) svchost(O), scvhost(X).. 더보기
E01 파일 mount 1. mount_ewf.py test.E01 /mnt/ewf 2. cd /mnt/ewf 3. mount -o ro,loop,show_sys_files,streams_interface=windows test.img /mnt/windows 4. cd /mnt/windows 5. ls -al 더보기

티스토리툴바