Darkest

컴퓨터를 포맷하고 WSL을 다시 설치하려고하니 방법이 생각이 안났다. 그래서 구글링을 하다보니 이게 웬걸 MSDN에 심플한 방법이 올라와 있는것이 아닌가?그렇다 win10은 특정 버전 이상, win11은 그냥 되는것 같다. 설치 하기윈도우 터미널을 켜서 wsl --install 명령을 수행하면 된다. 예전보다 정말 간편해졌다. 그리고 기본이 WSL2라고 한다.wsl --install 기본 명령을 수행하면 하면 아마 우분투가 설치될것 같은데, 다른 배포판을 설치하고 싶다면 추가 옵션을 주면 된다. 나는 그냥 우분투를 쓸 계획이기 때문에 기본 명령을 수행 해 주겠다.자 이렇게 자동으로 설치가 된다!다 설치되면 재부팅을 해주란다. 해주자. 재부팅 후설치 후 재부팅 하고나면 우분투가 자동으로 초기화된다.unix..

사용자에 의한 행동은 의도하든 의도하지 않든 시스템에 다양한 흔적을 남긴다.어떤 기능들은 사용자의 의도를 보조하도록 만들어졌지만, 오히려 그것으로 사용자의 행위를 역추적할 수 있게도 만든다.이번 글에서는 USB로 대표되는 외부 저장장치 연결 기록에대해 알아보고자 한다.이러한 외부 저장장치 연결 기록은 다양한 아티팩트에서 확인 가능하다. 크게 추려보자면SetupAPI.dev.log레지스트리UserAssistUSBSTORMountedDevicesWMI 1. SetupAPI.dev.log SetupAPI.dev.log 파일은 윈도우에서 PnP(Plug and Play) 장치의 설치 및 구성을 기록하는 로그 파일이다. 새로운 장치가 시스템에 연결될 때 발생하는 이벤트에 대한 정보가 기록되고, 주로 드라이버 설치..

예전에 윈11 설치하면서 왠지 될것 같아서 해봤었는데, 진짜 됐다.포스팅할려고 준비도 했었는데 까먹어서 기억나면 천천히 한번 포스팅 해보도록 하겠다. 아무튼 된다는사실!

작성 예정.. 이건 공개가 좀 고민이 된다.. 이렇게 작성한 코드를 실행하면복호화가 되는것을 확인할 수 있다.

카카오톡은 한국에서 가장 많이 사용되고 있는 메신저 어플리케이션이다.그래서 디지털 포렌식 분석 시 카카오톡 데이터베이스를 분석하는 것이 매우 중요할 것이라 생각이 된다.최근에는 멘티와 카카오톡 데이터베이스 복호화와 관련된 프로시딩을 하나 작성했다. :) 아무튼 카카오톡 분석 케이스를 나누자면 한 다섯 가지 정도가 될것 같다.개인적으로 중요도 순으로 정렬해본다면 다음 순서가 될것같다.1. 안드로이드2. iOS3. 윈도우(x86)4. MacOS5. linux (wine)간단하게 이유를 설명해보자면1. 피쳐폰 시대가 저물면서 스마트폰이 광범위하게 보급되었다.2. 스마트폰이 널리 보급되어, 컴퓨터는 없어도 스마트폰은 가진 인구가 굉장히 많을 것이다3. 한국에서는 안드로이드를 사용하는 갤럭시폰과 태블릿이 강세이지..

윈도우 11로 업데이트하고 사용한지도 근 2년이 다 되어가는데 여전히 뭔가 불편하다.편리해진 부분도 있지만 뭔가 윈도우 10 사용기간이 길어서 적응이 안되는 부분, 그리고 맥북을 사용하기 시작해서 또 헷갈리는 부분 등이 중요한 원인인것 같다.그 중에서도 오른쪽클릭 팝업이 정말 적응이 안되는데바로 이것이다.윈도우 11 스타일이 너무 손이든 눈이든 익지가 않는다. 레거시 스타일이 기본값으로 나오면 좋겠다.그럴 때 사용하는 방법 변경하기CMD 또는 Powershell을 '관리자 권한'으로 실행한다.관리자 권한으로 실행하려면 Ctrl + R 을 눌러 cmd 또는 powershell 입력 후 ctrl + shift + enter 를 누른다.이후에 팝업되는 UAC(User Account Control) 화면에서 '..

포트정보를 확인할 때 가장 익숙한 명령어는 보통 netstat 일것이다.그런데 가끔 분석을 하다 보면 서버에는 net-tools가 설치되어 있지 않은 경우가 종종 있다.그럴때는 당황하지 말고 다른 명령으로 확인해보면 되겠다. 1. netstat나는 리눅스에서 netstat 명령을 사용할때는 naptu 옵션을 주로 사용한다. 즉 'netstat -naptu' 로 쓰는것이다.각 옵션별 의미는 다음과 같다.-n, --numeric            don't resolve names-a, --all                display all sockets (default: connected)-p, --programs           display PID/Program name for socketst,..

Jumplist 란 Windows 7 으로 버전이 올라가면서 Jumplist라는 기능이 생겼다. 이 기능이 무엇인고 하니 바로 이런것이다. 특정 어플리케션이 최근(recent) 사용하거나, 자주(frequent) 사용하거나 고정(pin)했거나 하는 작업 또는 파일들에 대해 기록을 남기는 것이다. 왜 이런것들을 남기는걸까? 사실 윈도우 시스템에는 에는 이런 캐싱과 MRU(Most Recently Used)기록이 굉장히 많다. 몇 개 살펴보자면 다음과 같다.미리 얘기좀 해보자면 이런 MRU데이터들은 점프리스트 또는 레지스트리에 기록되어 있다. 이런 캐싱 기능들은 사실 시스템 구동 또는 운영을 위해서 사요된다기 보다는 사용자의 편의를 위해 제공되는 측면이 크다. Jumplist가 기록하는 작업에는 4가지 유형..

내가 아티팩트를 설명할때면 항상 이 관점을 같이 얘기 하는데, 우리가 얘기하는 컴퓨터 시스템의 아티팩트는 그 모든것들이 디지털 포렌식 분석을 위해 생겨나거나 남기는 것은아니다. 이러한 관점을 항상 독자분들도 생각을 하면 좋을것 같다. 아티팩트란.. 우선 아티팩트란 무엇인가 하는 내용을 짚고 넘어가는게 중요하지 않을까 한다.  구글에 아티팩트라는 단어를 검색해보면 위와 같은 결과를 확인할 수 있다. 정리해보자면 '자연적으로 발생한 것이 아닌 사람의 활동으로 인해 인위적으로 생겨난 무언가' 라는 뜻이라고 볼 수 있으며 이를 한국어 한 단어로 번역하자면 '인공물'이 되겠다. 참 무미건조하지만 그 뜻만 생각한다면 적절한 번역이 아닐까 하는 생각이 든다. 그럼 컴퓨터 시스템에서 그리고 디지털 포렌식 적인 관점에서..

나는 개인적으로 bittorrent나 utorrent를 선호하지 않는다.몇 년 전이었나, 토렌트 클라이언트 프로그램에 코인 마이너가 숨겨져 있다는 얘기가 돌고나서는 aria2 라는 토렌트 클라이언트만 사용 중이다.위의 토렌트 클라이언트들 처럼 멋들어진 GUI를 지원하지는 않지만, 간단하게 CLI로 동작시킬 수 있기에 크게 불편함은 없다! aria2 깃허브 저장소https://github.com/aria2/aria2aria2 공식 홈페이지https://aria2.github.io/ 나는 아치 리눅스를 다운로드하는데 사용 해 보겠다.   아치 리눅스 iso를 다운로드 하려고 보니, 토렌트로만 제공하는듯..  어쩔 수 없이 aria2 를 다운로드한 후 해당 경로에서 터미널을 실행시켜 준다. ./aria2c.e..