REGA 사용

침해사고 포렌식 메모리 분석 1. 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump.vmem imageinfo 3. 프로세스 정보 확인 vol.py -f memdump.vmem --profile=Win7SP1x64 pstree vol.py -f memdump.vmem --profile=Win7SP1x64 pstree > pstree.txt vol.py -f memdump.vmem --profile=Win7SP1x64 psscan vol.py -f memdump.vmem --profile=Win7SP1x64 psscan > psscan.txt vol.py -f memdump.vmem --profile..

irc 채팅 프로토콜 dcc send - 파일 전송 networkminer 도구 사용

SIFT3 도구 사용 forensics audacity 도구 사용 python pillow 라이브러리 사용 pdf 파일 안에 wav파일이 존재 바코니언 알고리즘 85byte 구조로 이루어짐 높은 음 : 1, B 낮은 음 : 0, A AABBBAAABBB DTF톤 휴대전화에 2개의 저주파수 고주파수로 나뉨

mp4 시그니처 00 00 00 14 66 74 79 70 00 00 00 18 66 74 79 70 smartdeblur 도구 사용 malbolge , malbolge 디코딩 ,base64디코딩 도구 사용 openstego도구 사용 open 3D model 도구 사용 -------손상 파일 -------- -----------------손상파일 ----------------- forevid 도구사용 영상파일속 암호찾기 bmp 파일 복구 base64인코딩 후 숨겨진암호 찾기 비밀문서 찾기

docx는 단순히 word파일이 아님 확장자 .zip 으로 상세히 확인가능 docx랑 zip이랑 파일 시그니처가 같음. 시그니처는 보통 앞에 존재 헥사에디터로 확인 ( 시그니처 , 푸터) -> 파일 확장자마다 다름 인터넷을 이용하여사진 파일을 다운로드하여 시그니처 푸터 값을 확인한다. 시그니처 푸터 png 89 50 4E 47 0D 0A 1A 0A 49 45 4E 44 AE 42 60 82 bmp 42 4D jpg FF D8 FF E0 00 10 4A 46 jpeg FF D8 FF E0 FF D9 FF D8 FF E8 FF D9 GIF 47 49 46 38 37 61 00 3B 47 49 46 38 39 61 00 3B PDF 25 50 44 46 2D 31 2E 25 25 45 4F 46 ZIP 50 ..