PowerPoint Presentation

Similar documents
PowerPoint 프레젠테이션

슬라이드 1

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

PowerPoint 프레젠테이션

Office Office Office 365,,,,,. Microsoft Microsoft

디지털포렌식학회 논문양식

Office 365 사용자 가이드

컴퓨터관리2번째시간

untitled

Install stm32cubemx and st-link utility


CyberLink YouCam

ActFax 4.31 Local Privilege Escalation Exploit

CyberLink YouCam µµ¿ò¸»

PowerPoint Presentation

歯MW-1000AP_Manual_Kor_HJS.PDF

PI ZH-CN

Portal_9iAS.ppt [읽기 전용]

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

순 서 1. UserAssist p 2. Prefetch / Superfetch p 3. Shim p 4. LNK

<%DOC NAME%> User Manual

Windows7 응용프로그램실행흔적분석 공지훈

클라우드컴퓨팅확산에따른국내경제시사점 클라우드컴퓨팅확산에따른국내경제시사점 * 1) IT,,,, Salesforce.com SaaS (, ), PaaS ( ), IaaS (, IT ), IT, SW ICT, ICT IT ICT,, ICT, *, (TEL)

1

안전을 위한 주의사항 제품을 올바르게 사용하여 위험이나 재산상의 피해를 미리 막기 위한 내용이므로 반드시 지켜 주시기 바랍니다. 2 경고 설치 관련 지시사항을 위반했을 때 심각한 상해가 발생하거나 사망에 이를 가능성이 있는 경우 설치하기 전에 반드시 본 기기의 전원을

P2WW HNZ0

게시: SWD

Windows 8에서 BioStar 1 설치하기

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이

고객 카드

디지털포렌식학회 논문양식

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

슬라이드 1

Intro to Servlet, EJB, JSP, WS

Analyst Briefing

<%DOC NAME%> User Manual

Dropbox Forensics

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

ESET NOD32 Antivirus


PowerPoint Presentation

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

AVN9272Kor_091215



BMP 파일 처리

<%DOC NAME%> (User Manual)

<%DOC NAME%> (User Manual)

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

*2008년1월호진짜

BH의 아이폰 추천 어플

슬라이드 1

OVERVIEW 디트라이브는 커뮤니케이션 환경의 다변화에 대응하기 위한 고객들의 다양한 욕구를 충족시키기 위해, TV광고부터 온라인 광고 및 프로모션과 웹사이트 구축은 물론 뉴미디어까지 아우르는 다양한 IMC 기능을 수행하는 마케팅 커뮤니케이션 회사입니다. 대표이사 설

슬라이드 1

10X56_NWG_KOR.indd

¨ìÃÊÁ¡2

Microsoft PowerPoint - 권장 사양

Open Cloud Engine Open Source Big Data Platform Flamingo Project Open Cloud Engine Flamingo Project Leader 김병곤

LCD Monitor


FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

PCServerMgmt7

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Windows Embedded Compact 2013 [그림 1]은 Windows CE 로 알려진 Microsoft의 Windows Embedded Compact OS의 history를 보여주고 있다. [표 1] 은 각 Windows CE 버전들의 주요 특징들을 담고

歯세대갈등국민조사97.PDF

ESET Endpoint Security

CMS-내지(서진이)

P2WW HNZ0

Special Theme _ e-publishing 전자책이 자체적으로 생산되기는 힘들다. 따라서 많은 전자책 사업자들은 기존 종이책 시장을 통해 질적 검증 이 완료된 저작물을 전자책화하는 것을 선호하고 있다. 기존 종이책을 전자책으로 변환하는 기술은 크게 2 가지 과

Microsoft Word - 김완석.doc

IRISCard Anywhere 5

08SW

YV-150-S.CHINESE1.0-1

서현수

PowerPoint 프레젠테이션

playnode.key

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

Interstage5 SOAP서비스 설정 가이드

공지사항

Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

( )부록

LU8300_(Rev1.0)_1020.indd

Mstage.PDF

PowerPoint

untitled

처음에 읽어 주십시오 본 제품을 사용하시기 전에 이 사용설 명서를 자세히 읽고 장래에 참조할 수 있도록 소중히 보관하여 주십시오. 한국내 고객용 경고 화재 또는 감전의 위험을 줄이기 위해 장치를 비 또는 습기에 노출시 키지 않도록 하여 주십시오. 배터리를 햇빛, 불 등


TTA Journal No.157_서체변경.indd

LG-LU6200_ICS_UG_V1.0_ indd

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

목차 소프트웨어 라이센스 계약 3 무선 연결 사용 시 참고 사항 4 보안 관련 참고 사항 6 Wireless Manager mobile edition 5.5 로 수행 가능한 작업 7 컴퓨터 확인 10 컴퓨터를 연결하기 위해 필요한 환경 10 소프트웨어 설치 / 제거 1

This page left blank intentionally

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

DocsPin_Korean.pages

6강.hwp

Transcription:

윈도우 10 포렌식분석 플레인비트대표 김진국 jinkook.kim@plainbit.co.kr

개요 1. 2. NEW 아티팩트 Digital Forensics Specialist Group Page 2/30

Digital Forensics Specialist Group Page 3/30

운영체제비교 Windows 8.1 Windows 10 vs Digital Forensics Specialist Group Page 4/30

메모리수집및분석 기존도구로수집가능!! FDPro BY HBGary Memorize BY MANDIANT FTK Imager BY AccessData 메모리분석 Volatility BY The Volatility Foundation? Redline BY MANDIANT? Digital Forensics Specialist Group Page 5/30

기본프로세스 (Processes) 윈도우 8.1 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe - winlogon.exe - dwm.exe - explorer.exe - iexplore.exe 윈도우 10 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - RuntimeBroker.exe - MicrosoftEdgeCP.exe - MicrosoftEdgeCP.exe - MicrosoftEdge.exe - browser_broker.exe - - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe + winlogon.exe - dwm.exe - explorer.exe - iexplore.exe - OneDrive.exe Digital Forensics Specialist Group Page 6/30

기본프로세스의주요변화 추가내용 MS Edge 브라우저관련프로세스 svchost.exe 하위에존재 RuntimeBroker.exe MicrosoftEdgeCP.exe MicrosoftEdge.exe brower_broker.exe OneDrive 관련프로세스추가 OneDrive를이용한클라우드서비스지원 탐색기에서바로접근가능 Digital Forensics Specialist Group Page 7/30

파일시스템 (Filesystem) 파일시스템 NTFS 그대로사용 볼륨할당 부트볼륨크기변화 100MB 500MB Digital Forensics Specialist Group Page 8/30

파일시스템로그 (Filesystem Logs) 로그경로 변화없음!! \$LogFile \$Extend\$UsnJrnl:$J 분석도구 분석잘됨!! NTFS LogTracker ( ) X-Ways Forensics (O) EnCase Forensic (O) Digital Forensics Specialist Group Page 9/30

프리패치 (Prefetch) 프리패치경로 변화없음!! %SystemRoot%\Prefetch 데이터구조 변경됨!! 압축사용 압축해제 : RtlDecompressBufferEx() 압축알고리즘 : COMPRESSION_FORMAT_XPRESS_HUFF (XPRESS HUFFMAN) 윈도우 8.1 슈퍼패치에서사용 (MEMO/MEMo MAM) 압축확장 슈퍼패치만압축 프리패치 + 슈퍼패치모두압축 http://blog.digital-forensics.it/2015/06/a-first-look-at-windows-10-prefetch.html (w10pfdecomp.py) https://github.com/libyal/libagdb/blob/master/documentation/windows%20superfetch%20%28db%29%20format.asciidoc Digital Forensics Specialist Group Page 10/30

레지스트리하이브 (Hives) 하이브파일경로, 구조 변화없음!! 유형 User Account SYSTEM Account LocalService Account NetworkService Account BBI, BCD-Template COMPONENT, DEFAULT DRIVERS, ELAM, FP SAM, SECURITY SOFTWARE, SYSTEM RegBack AmCache Package(App) Setting Package(App) Config 윈도우 10 경로 %UserProfile\NTUSER.DAT %UserProfile\AppData\Local\Microsoft\Windows\UsrClass.dat %SystemRoot%\System32\config\systemprofile\NTUSER.DAT %SystemRoot%\ServiceProfile\LocalService\NTUSER.DAT %SystemRoot%\ServiceProfile\NetworkService\NTUSER.DAT %SystemRoot%\System32\config\##### %SystemRoot%\System32\config\RegBack\##### %SystemRoot%\appcompat\Programs\Amcache.hve %UserProfile%\AppData\Local\Packages\(AppName)\Settings\settings.dat %UserProfile%\AppData\Local\Packages\(AppName)\ActivationStore\ActivationStore.dat Digital Forensics Specialist Group Page 11/30

링크파일 (LNK) 링크파일경로, 구조 변화없음!! 유형 Start Menu Places Start Menu WinX Group Quick Launch Send To Application(App) Shortcuts Recent Links 윈도우 10 경로 \ProgramData\Microsoft\Windows\Start Menu Places\*.lnk \ProgramData\Microsoft\Windows\Start Menu\Programs\*\*.lnk \Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\*\*.lnk %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\*\*.lnk %ServiceProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\*\*.lnk \Users\Default\AppData\Local\Microsoft\Windows\WinX\Group#\*.lnk %UserProfile%\AppData\Local\Microsoft\Windows\WinX\Group#\*.lnk %ServiceProfile%\AppData\Local\Microsoft\Windows\WinX\Group#\*.lnk \Users\Default\AppData\Local\Microsoft\Internet Explorer\Quick Launch\*.lnk %UserProfile%\AppData\Local\Microsoft\Internet Explorer\Quick Launch\*.lnk %ServiceProfile%\AppData\Local\Microsoft\Internet Explorer\Quick Launch\*.lnk \Users\Default\AppData\Roaming\Microsoft\Windows\SendTo\*.lnk %UserProfile%\AppData\Roaming\Microsoft\Windows\SendTo\*.lnk %ServiceProfile%\AppData\Roaming\Microsoft\Windows\SendTo\*.lnk %UserProfile%\AppData\Local\Microsoft\Windows\Application Shortcuts\*.lnk %UserProfile\AppData\Roaming\Microsoft\Windows\Recent\*.lnk %UserProfile%\Links\*.lnk Digital Forensics Specialist Group Page 12/30

점프목록 (Jump List) 점프목록경로, 구조 변화없음!! 유형 Automatic Custom 윈도우 10 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations Digital Forensics Specialist Group Page 13/30

썸네일캐시 (ThumbCache) 썸네일캐시경로 변화없음!! %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 썸네일캐시파일 구조약간변화, 기존도구사용에지장없음!! 윈도우 8.1 윈도우 10 thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db thumbcache_1600.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_768.db thumbcache_1280.db thumbcache_1920.db thumbcache_2560.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_custom_stream.db Digital Forensics Specialist Group Page 14/30

아이콘캐시 (IConCache) 아이콘캐시경로 변화없음!! %UserProfile%\AppData\Local\IconCache.db ( 기존 ) %UserProfile%\AppData\Local\Microsoft\Windows\Explorer\iconcache* 아이콘캐시파일 구조변화없음!! 윈도우 8.1 윈도우 10 iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_1024.db iconcache_1600.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_768.db iconcache_1280.db iconcache_1920.db iconcache_2560.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_custom_stream.db Digital Forensics Specialist Group Page 15/30

이벤트로그 (Event Logs) 이벤트로그경로 변화없음!! %SystemRoot%\System32\winevt\Logs\*.evtx 주요이벤트로그 Application.evtx Security.evtx System.evtx Microsoft-Windows-Application-*.evtx Microsoft-Windows-AppXDeployment*.evtx Microsoft-Windows-DateTimeControlPanel*.evtx Microsoft-Windows-DeviceSetup*.evtx Microsoft-Windows-Kernel-Pnp/Device*.evtx Sysinternale SysMon (System Monitor)!! Digital Forensics Specialist Group Page 16/30

휴지통 ($Recycle.Bin) 휴지통경로 변화없음!! \$Recycle.Bin\[SID] 휴지통파일 구조일부변화!! $R : 삭제된파일데이터 $I : 삭제정보 일부구조변경 파일명에따라가변크기를가짐 ( 이전에는 544바이트로고정 ) Resident 파일? Digital Forensics Specialist Group Page 17/30

볼륨섀도복사본 (VSC; Volume Shadow Copy) VSC 경로 변화없음!! \System Volume Information VSC 파일 구조변화없음!! vssadmin 명령그대로 ~!! 안티포렌식기법의일반화 @ VSC 에대한정책을마련하여관리할필요가있음 Digital Forensics Specialist Group Page 18/30

윈도우인덱싱서비스 (Windows Indexing Service) 파일경로 변화없음!! \ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb 파일구조 ESE(Extensible Storage Engine) DB Digital Forensics Specialist Group Page 19/30

알림 (Notification) Modern UI (Metro UI) 앱알림 %UserProfile%\AppData\Local\Microsoft\Windows\Notifications\appdb.dat 캐시형태로저장, 아직구조역분석 (X) XML 카빙 (byte-level) 을통해정보획득 ㅌ Digital Forensics Specialist Group Page 20/30

윈도우스토어 (Windows Store) 윈도우앱스토어 %UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_############# HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore Digital Forensics Specialist Group Page 21/30

윈도우디펜더 (Windows Defender) 윈도우 AV \ProgramData\Microsoft\Windows Defender 윈도우 10에서더욱강화!! 실시간보호 클라우드기반보호 샘플전송 Digital Forensics Specialist Group Page 22/30

NEW 아티팩트 Digital Forensics Specialist Group Page 23/30

NEW 아티팩트 Edge Browser Edge 홈폴더 %UserProfile%\AppData\Local\Packages\Microsoft.MicrosoftEdge_############# 브라우저설정, 캐시파일, 쿠키파일저장 Edge 아티팩트 %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat 히스토리, 쿠키정보, 다운로드목록등 Digital Forensics Specialist Group Page 24/30

NEW 아티팩트 WebCache WebCache 경로 %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat WebCache 기록되는정보 Internet Explorer (10+) Package: microsoft.accountscontrol Package: microsoft.microsoftedge Package: microsoft.bingnews Package: microsoft.office.onenote Package: microsoft.windows.authhost Package: microsoft.windows.cloudexperiencehost Package: microsoft.windows.cortana Package: microsoft.windowscommunicationapps Package: microsoft.windowsstore Digital Forensics Specialist Group Page 25/30

NEW 아티팩트 Cortana 윈도우개인비서 (created by Windows Phone 8.1) %UserProfile%\AppData\Local\Packages\Microsoft.Windows.Cortana_############# 음성인식, Remind 기능, Digital Forensics Specialist Group Page 26/30

NEW 아티팩트 Email (Mail Application) 이메일 BODY %UserProfile%\AppData\Local\Comms\Unistore\data\*\*.dat TXT, HTML 형식으로저장 이메일 METADATA (ESE DB) %UserProfile%\AppData\Local\Comms\UnistoreDB\store.vol 이메일헤더 주소록, 연락처 첨부파일정보 Digital Forensics Specialist Group Page 27/30

추가연구주제 Digital Forensics Specialist Group Page 28/30

추가연구주제 윈도우 10 에서뭘해보지? OneDrive 이벤트정리 윈도우 10 앱 (App Packages) 흔적정리 OneDrive, OneNote, Skype, Facebook, Twitter, Windows Live, Maps, Excel, Word, PowerPoint, 사건유형별행위아티팩트분석 프로그램 (EXE) 실행 문서파일실행 정보유출아티팩트분석 침해사고아티팩트분석 Digital Forensics Specialist Group Page 29/30

질문및답변 Digital Forensics Specialist Group Page 30/30

2024 © docsplayer.org 개인정보보호 | 약관 | 지원