SlideShare a Scribd company logo

(Fios#02) 7. 윈도우 10 포렌식 분석

INSIGHT FORENSIC
INSIGHT FORENSIC

F-INSIGHT OPEN SEMINAR

Technology
1 of 31
Download to read offline
윈도우 10 포렌식 분석 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
Digital Forensics Specialist Group Page 2/30 개요 1. 포렌식 아티팩트 비교 2. NEW 아티팩트
Digital Forensics Specialist Group Page 3/30 포렌식 아티팩트 비교
Digital Forensics Specialist Group Page 4/30 포렌식 아티팩트 비교 운영체제 비교 Windows 8.1 Windows 10 vs
Digital Forensics Specialist Group Page 5/30 포렌식 아티팩트 비교 메모리 수집 및 분석  기존 도구로 수집 가능!! • FDPro BY HBGary • Memorize BY MANDIANT • FTK Imager BY AccessData • … …  메모리 분석 • Volatility BY The Volatility Foundation ? • Redline BY MANDIANT ?
Digital Forensics Specialist Group Page 6/30 포렌식 아티팩트 비교 기본 프로세스 (Processes)  윈도우 8.1 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe - winlogon.exe - dwm.exe - explorer.exe - iexplore.exe  윈도우 10 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - RuntimeBroker.exe - MicrosoftEdgeCP.exe - MicrosoftEdgeCP.exe - MicrosoftEdge.exe - browser_broker.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe + winlogon.exe - dwm.exe - explorer.exe - iexplore.exe - OneDrive.exe
Digital Forensics Specialist Group Page 7/30 포렌식 아티팩트 비교 기본 프로세스의 주요 변화  추가 내용 • MS Edge 브라우저 관련 프로세스  svchost.exe 하위에 존재  RuntimeBroker.exe  MicrosoftEdgeCP.exe  MicrosoftEdge.exe  brower_broker.exe • OneDrive 관련 프로세스 추가  OneDrive를 이용한 클라우드 서비스 지원  탐색기에서 바로 접근 가능
Digital Forensics Specialist Group Page 8/30 포렌식 아티팩트 비교 파일시스템 (Filesystem)  파일시스템 • NTFS 그대로 사용  볼륨 할당 • 부트 볼륨 크기 변화  100MB  500MB
Digital Forensics Specialist Group Page 9/30 포렌식 아티팩트 비교 파일시스템 로그 (Filesystem Logs)  로그 경로  변화 없음!! • $LogFile • $Extend$UsnJrnl:$J  분석 도구  분석 잘됨!! • NTFS LogTracker (△) • X-Ways Forensics (O) • EnCase Forensic (O)
Digital Forensics Specialist Group Page 10/30 포렌식 아티팩트 비교 프리패치 (Prefetch)  프리패치 경로  변화 없음!! • %SystemRoot%Prefetch  데이터 구조  변경됨!! • 압축 사용  압축 해제 : RtlDecompressBufferEx()  압축 알고리즘 : COMPRESSION_FORMAT_XPRESS_HUFF (XPRESS HUFFMAN)  윈도우 8.1 슈퍼패치에서 사용 (MEMO/MEMo  MAM) • 압축 확장  슈퍼패치만 압축  프리패치+ 슈퍼패치 모두 압축 • http://blog.digital-forensics.it/2015/06/a-first-look-at-windows-10-prefetch.html (w10pfdecomp.py) • https://github.com/libyal/libagdb/blob/master/documentation/Windows%20SuperFetch%20%28DB%29%20format.asciidoc
Digital Forensics Specialist Group Page 11/30 포렌식 아티팩트 비교 레지스트리 하이브 (Hives)  하이브 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 User Account %UserProfileNTUSER.DAT %UserProfileAppDataLocalMicrosoftWindowsUsrClass.dat SYSTEM Account %SystemRoot%System32configsystemprofileNTUSER.DAT LocalService Account %SystemRoot%ServiceProfileLocalServiceNTUSER.DAT NetworkService Account %SystemRoot%ServiceProfileNetworkServiceNTUSER.DAT BBI, BCD-Template COMPONENT, DEFAULT DRIVERS, ELAM, FP SAM, SECURITY SOFTWARE, SYSTEM %SystemRoot%System32config##### RegBack %SystemRoot%System32configRegBack##### AmCache %SystemRoot%appcompatProgramsAmcache.hve Package(App) Setting %UserProfile%AppDataLocalPackages(AppName)Settingssettings.dat Package(App) Config %UserProfile%AppDataLocalPackages(AppName)ActivationStoreActivationStore.dat
Digital Forensics Specialist Group Page 12/30 포렌식 아티팩트 비교 링크 파일 (LNK)  링크 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Start Menu Places ProgramDataMicrosoftWindowsStart Menu Places*.lnk Start Menu ProgramDataMicrosoftWindowsStart MenuPrograms**.lnk UsersDefaultAppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %UserProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk WinX Group UsersDefaultAppDataLocalMicrosoftWindowsWinXGroup#*.lnk %UserProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk %ServiceProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk Quick Launch UsersDefaultAppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %UserProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %ServiceProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk Send To UsersDefaultAppDataRoamingMicrosoftWindowsSendTo*.lnk %UserProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk Application(App) Shortcuts %UserProfile%AppDataLocalMicrosoftWindowsApplication Shortcuts*.lnk Recent %UserProfileAppDataRoamingMicrosoftWindowsRecent*.lnk Links %UserProfile%Links*.lnk
Digital Forensics Specialist Group Page 13/30 포렌식 아티팩트 비교 점프 목록 (Jump List)  점프 목록 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Automatic %UserProfile%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations Custom %UserProfile%AppDataRoamingMicrosoftWindowsRecentCustomDestinations
Digital Forensics Specialist Group Page 14/30 포렌식 아티팩트 비교 썸네일 캐시 (ThumbCache)  썸네일 캐시 경로  변화 없음!! • %UserProfile%AppDataLocalMicrosoftWindowsExplorer  썸네일 캐시 파일  구조 약간 변화, 기존 도구 사용에 지장 없음!! 윈도우 8.1 윈도우 10 thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db thumbcache_1600.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_768.db thumbcache_1280.db thumbcache_1920.db thumbcache_2560.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_custom_stream.db
Digital Forensics Specialist Group Page 15/30 포렌식 아티팩트 비교 아이콘 캐시 (IConCache)  아이콘 캐시 경로 변화 없음!! • %UserProfile%AppDataLocalIconCache.db (기존) • %UserProfile%AppDataLocalMicrosoftWindowsExplorericoncache*  아이콘 캐시 파일  구조 변화 없음!! 윈도우 8.1 윈도우 10 iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_1024.db iconcache_1600.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_768.db iconcache_1280.db iconcache_1920.db iconcache_2560.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_custom_stream.db
Digital Forensics Specialist Group Page 16/30 포렌식 아티팩트 비교 이벤트 로그 (Event Logs)  이벤트 로그 경로  변화 없음!! • %SystemRoot%System32winevtLogs*.evtx  주요 이벤트 로그 • Application.evtx • Security.evtx • System.evtx • Microsoft-Windows-Application-*.evtx • Microsoft-Windows-AppXDeployment*.evtx • Microsoft-Windows-DateTimeControlPanel*.evtx • Microsoft-Windows-DeviceSetup*.evtx • Microsoft-Windows-Kernel-Pnp/Device*.evtx • … …  Sysinternale SysMon (System Monitor)!!
Digital Forensics Specialist Group Page 17/30 포렌식 아티팩트 비교 휴지통 ($Recycle.Bin)  휴지통 경로  변화 없음!! • $Recycle.Bin[SID]  휴지통 파일  구조 일부 변화!! • $R : 삭제된 파일 데이터 • $I : 삭제 정보  일부 구조 변경  파일명에 따라 가변 크기를 가짐 (이전에는 544바이트로 고정)  Resident 파일…?
Digital Forensics Specialist Group Page 18/30 포렌식 아티팩트 비교 볼륨 섀도 복사본 (VSC; Volume Shadow Copy)  VSC 경로  변화 없음!! • System Volume Information  VSC 파일  구조 변화 없음!! • vssadmin 명령 그대로~!!  안티포렌식 기법의 일반화@ • VSC에 대한 정책을 마련하여 관리할 필요가 있음
Digital Forensics Specialist Group Page 19/30 포렌식 아티팩트 비교 윈도우 인덱싱 서비스 (Windows Indexing Service)  파일 경로  변화 없음!! • ProgramDataMicrosoftSearchDataApplicationsWindowsWindows.edb  파일 구조  ESE(Extensible Storage Engine) DB
Digital Forensics Specialist Group Page 20/30 포렌식 아티팩트 비교 알림 (Notification)  Modern UI (Metro UI) 앱 알림 • %UserProfile%AppDataLocalMicrosoftWindowsNotificationsappdb.dat • 캐시 형태로 저장, 아직 구조 역분석 (X)  XML 카빙(byte-level)을 통해 정보 획득 • ㅌ
Digital Forensics Specialist Group Page 21/30 포렌식 아티팩트 비교 윈도우 스토어 (Windows Store)  윈도우 앱 스토어 • %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_############# • HKLMSOFTWAREMicrosoftWindowsCurrentVersionAppxAppxAllUserStore
Digital Forensics Specialist Group Page 22/30 포렌식 아티팩트 비교 윈도우 디펜더 (Windows Defender)  윈도우 AV • ProgramDataMicrosoftWindows Defender • 윈도우 10에서 더욱 강화!!  실시간 보호  클라우드 기반 보호  샘플 전송
Digital Forensics Specialist Group Page 23/30 NEW 아티팩트
Digital Forensics Specialist Group Page 24/30 NEW 아티팩트 Edge Browser  Edge 홈 폴더 • %UserProfile%AppDataLocalPackagesMicrosoft.MicrosoftEdge_############# • 브라우저 설정, 캐시 파일, 쿠키 파일 저장  Edge 아티팩트 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat • 히스토리, 쿠키 정보, 다운로드 목록 등
Digital Forensics Specialist Group Page 25/30 NEW 아티팩트 WebCache  WebCache 경로 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat  WebCache 기록되는 정보 • Internet Explorer (10+) • Package: microsoft.accountscontrol • Package: microsoft.microsoftedge • Package: microsoft.bingnews • Package: microsoft.office.onenote • Package: microsoft.windows.authhost • Package: microsoft.windows.cloudexperiencehost • Package: microsoft.windows.cortana • Package: microsoft.windowscommunicationapps • Package: microsoft.windowsstore
Digital Forensics Specialist Group Page 26/30 NEW 아티팩트 Cortana  윈도우 개인 비서 (created by Windows Phone 8.1) • %UserProfile%AppDataLocalPackagesMicrosoft.Windows.Cortana_############# • 음성 인식, Remind 기능, …
Digital Forensics Specialist Group Page 27/30 NEW 아티팩트 Email (Mail Application)  이메일 BODY • %UserProfile%AppDataLocalCommsUnistoredata**.dat • TXT, HTML 형식으로 저장  이메일 METADATA (ESE DB) • %UserProfile%AppDataLocalCommsUnistoreDBstore.vol • 이메일 헤더 • 주소록, 연락처 • 첨부파일 정보 • … …
Digital Forensics Specialist Group Page 28/30 추가 연구 주제
Digital Forensics Specialist Group Page 29/30 추가 연구 주제 윈도우 10에서 뭘 해보지?  OneDrive 이벤트 정리  윈도우 10 앱(App Packages) 흔적 정리 • OneDrive, OneNote, Skype, Facebook, Twitter, Windows Live, Maps, Excel, Word, PowerPoint, …  사건 유형 별 행위 아티팩트 분석 • 프로그램(EXE) 실행 • 문서 파일 실행 • 정보유출 아티팩트 분석 • 침해사고 아티팩트 분석 • … …
Digital Forensics Specialist Group Page 30/30 질문 및 답변
Digital Forensics Specialist Group Page 31/30 뒷풀이 장소

Recommended

Ubuntu OS.pptx
Ubuntu OS.pptxUbuntu OS.pptx
Ubuntu OS.pptxAhmedSubhanFarjamBai
 
Resource Monitoring and management
Resource Monitoring and management Resource Monitoring and management
Resource Monitoring and management Duressa Teshome
 
NTFS.ppt
NTFS.pptNTFS.ppt
NTFS.pptjlmansilla
 
Examining Mac File Structures
Examining Mac File StructuresExamining Mac File Structures
Examining Mac File Structuresprimeteacher32
 
Computer memory management
Computer memory managementComputer memory management
Computer memory managementKumar
 
File Management
File ManagementFile Management
File ManagementRamasubbu .P
 
Windows Network concepts
Windows Network conceptsWindows Network concepts
Windows Network conceptsDuressa Teshome
 
Chorus - Distributed Operating System [ case study ]
Chorus - Distributed Operating System [ case study ]Chorus - Distributed Operating System [ case study ]
Chorus - Distributed Operating System [ case study ]Akhil Nadh PC
 

Recommended

Ubuntu OS.pptx
Ubuntu OS.pptxUbuntu OS.pptx
Ubuntu OS.pptxAhmedSubhanFarjamBai
 
Resource Monitoring and management
Resource Monitoring and management Resource Monitoring and management
Resource Monitoring and management Duressa Teshome
 
NTFS.ppt
NTFS.pptNTFS.ppt
NTFS.pptjlmansilla
 
Examining Mac File Structures
Examining Mac File StructuresExamining Mac File Structures
Examining Mac File Structuresprimeteacher32
 
Computer memory management
Computer memory managementComputer memory management
Computer memory managementKumar
 
File Management
File ManagementFile Management
File ManagementRamasubbu .P
 
Windows Network concepts
Windows Network conceptsWindows Network concepts
Windows Network conceptsDuressa Teshome
 
Chorus - Distributed Operating System [ case study ]
Chorus - Distributed Operating System [ case study ]Chorus - Distributed Operating System [ case study ]
Chorus - Distributed Operating System [ case study ]Akhil Nadh PC
 
Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...Ajay Panchal
 
Linux
LinuxLinux
LinuxGouthaman V
 
Lvm advanced topics
Lvm advanced topicsLvm advanced topics
Lvm advanced topicsWill Sterling
 
cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6Thay Đổi
 
مكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيلمكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيلSamer Saner
 
Windows File Systems
Windows File SystemsWindows File Systems
Windows File Systemsprimeteacher32
 
Linux file system
Linux file systemLinux file system
Linux file systemBurhan Abbasi
 
Operating system 02 os as an extended machine
Operating system 02 os as an extended machineOperating system 02 os as an extended machine
Operating system 02 os as an extended machineVaibhav Khanna
 
Cs8493 unit 4
Cs8493 unit 4Cs8493 unit 4
Cs8493 unit 4Kathirvel Ayyaswamy
 
File System Hierarchy
File System HierarchyFile System Hierarchy
File System Hierarchysritolia
 
Linux and windows file system
Linux and windows file systemLinux and windows file system
Linux and windows file systemlin yucheng
 
Os Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual MemoryOs Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual Memorysgpraju
 
Windows V/S Linux OS - Comparison
Windows V/S Linux OS - ComparisonWindows V/S Linux OS - Comparison
Windows V/S Linux OS - ComparisonHariharan Ganesan
 
Free space managment46
Free space managment46Free space managment46
Free space managment46myrajendra
 
Reader Writer problem
Reader Writer problemReader Writer problem
Reader Writer problemManthiravalli Krishnan
 
Lesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtrLesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtrShaw Cruz
 
2 operating system structures
2 operating system structures2 operating system structures
2 operating system structuresDr. Loganathan R
 
Linux File System
Linux File SystemLinux File System
Linux File SystemAnil Kumar Pugalia
 
Microsoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMicrosoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMeghaj Mallick
 
NTFS file system
NTFS file systemNTFS file system
NTFS file systemRavi Yasas
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나INSIGHT FORENSIC
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!SeungYong Yoon
 

More Related Content

What's hot

Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...Ajay Panchal
 
cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6Thay Đổi
 
مكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيلمكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيلSamer Saner
 
Operating system 02 os as an extended machine
Operating system 02 os as an extended machineOperating system 02 os as an extended machine
Operating system 02 os as an extended machineVaibhav Khanna
 
File System Hierarchy
File System HierarchyFile System Hierarchy
File System Hierarchysritolia
 
Linux and windows file system
Linux and windows file systemLinux and windows file system
Linux and windows file systemlin yucheng
 
Os Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual MemoryOs Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual Memorysgpraju
 
Windows V/S Linux OS - Comparison
Windows V/S Linux OS - ComparisonWindows V/S Linux OS - Comparison
Windows V/S Linux OS - ComparisonHariharan Ganesan
 
Free space managment46
Free space managment46Free space managment46
Free space managment46myrajendra
 
Lesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtrLesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtrShaw Cruz
 
2 operating system structures
2 operating system structures2 operating system structures
2 operating system structuresDr. Loganathan R
 
Microsoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMicrosoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMeghaj Mallick
 
NTFS file system
NTFS file systemNTFS file system
NTFS file systemRavi Yasas
 

What's hot (20)

Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...Disk management / hard drive partition management / create drive or partition...
Disk management / hard drive partition management / create drive or partition...
 
Linux
LinuxLinux
Linux
 
Lvm advanced topics
Lvm advanced topicsLvm advanced topics
Lvm advanced topics
 
cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6cấu trúc máy tính Chuong6
cấu trúc máy tính Chuong6
 
مكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيلمكونات الحاسب الآلي - أنظمة التشغيل
مكونات الحاسب الآلي - أنظمة التشغيل
 
Windows File Systems
Windows File SystemsWindows File Systems
Windows File Systems
 
Linux file system
Linux file systemLinux file system
Linux file system
 
Operating system 02 os as an extended machine
Operating system 02 os as an extended machineOperating system 02 os as an extended machine
Operating system 02 os as an extended machine
 
Cs8493 unit 4
Cs8493 unit 4Cs8493 unit 4
Cs8493 unit 4
 
File System Hierarchy
File System HierarchyFile System Hierarchy
File System Hierarchy
 
Linux and windows file system
Linux and windows file systemLinux and windows file system
Linux and windows file system
 
Os Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual MemoryOs Swapping, Paging, Segmentation and Virtual Memory
Os Swapping, Paging, Segmentation and Virtual Memory
 
Windows V/S Linux OS - Comparison
Windows V/S Linux OS - ComparisonWindows V/S Linux OS - Comparison
Windows V/S Linux OS - Comparison
 
Free space managment46
Free space managment46Free space managment46
Free space managment46
 
Reader Writer problem
Reader Writer problemReader Writer problem
Reader Writer problem
 
Lesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtrLesson 1 desktop (grade 1) 4th qtr
Lesson 1 desktop (grade 1) 4th qtr
 
2 operating system structures
2 operating system structures2 operating system structures
2 operating system structures
 
Linux File System
Linux File SystemLinux File System
Linux File System
 
Microsoft Windows File System in Operating System
Microsoft Windows File System in Operating SystemMicrosoft Windows File System in Operating System
Microsoft Windows File System in Operating System
 
NTFS file system
NTFS file systemNTFS file system
NTFS file system
 

Viewers also liked

(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나INSIGHT FORENSIC
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!SeungYong Yoon
 
サーバを作ってみた (4)
サーバを作ってみた (4)サーバを作ってみた (4)
サーバを作ってみた (4)SeungYong Yoon
 
보안과 빅데이터의 올바른 접목
보안과 빅데이터의 올바른 접목보안과 빅데이터의 올바른 접목
보안과 빅데이터의 올바른 접목Myounghun Kang
 
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판Minseok(Jacky) Cha
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
Windows 10 Forensics: OS Evidentiary Artefacts
Windows 10 Forensics: OS Evidentiary ArtefactsWindows 10 Forensics: OS Evidentiary Artefacts
Windows 10 Forensics: OS Evidentiary ArtefactsBrent Muir
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
RDP Packet Analysis 삽질기 - Basic Level 1
RDP Packet Analysis 삽질기 - Basic Level 1RDP Packet Analysis 삽질기 - Basic Level 1
RDP Packet Analysis 삽질기 - Basic Level 1남준 김
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석INSIGHT FORENSIC
 
DLL 인젝션
DLL 인젝션DLL 인젝션
DLL 인젝션광민 김
 
빅데이터와 보안
빅데이터와 보안빅데이터와 보안
빅데이터와 보안Myounghun Kang
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응INSIGHT FORENSIC
 
그로스 해킹(Growth Hacking)
그로스 해킹(Growth Hacking)그로스 해킹(Growth Hacking)
그로스 해킹(Growth Hacking)Jong taek OH
 
2차원 평면상에서 가장 먼 두 점 구하기
2차원 평면상에서 가장 먼 두 점 구하기2차원 평면상에서 가장 먼 두 점 구하기
2차원 평면상에서 가장 먼 두 점 구하기광민 김
 
WinFE: The (Almost) Perfect Triage Tool
WinFE: The (Almost) Perfect Triage ToolWinFE: The (Almost) Perfect Triage Tool
WinFE: The (Almost) Perfect Triage ToolBrent Muir
 
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요NAVER D2
 
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)seungdols
 

Viewers also liked (20)

(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!
 
サーバを作ってみた (4)
サーバを作ってみた (4)サーバを作ってみた (4)
サーバを作ってみた (4)
 
보안과 빅데이터의 올바른 접목
보안과 빅데이터의 올바른 접목보안과 빅데이터의 올바른 접목
보안과 빅데이터의 올바른 접목
 
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
Power shell 악성코드 동향 20161118_차민석_디지털 포렌식 기술특강 공개판
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
 
Windows 10 Forensics: OS Evidentiary Artefacts
Windows 10 Forensics: OS Evidentiary ArtefactsWindows 10 Forensics: OS Evidentiary Artefacts
Windows 10 Forensics: OS Evidentiary Artefacts
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
RDP Packet Analysis 삽질기 - Basic Level 1
RDP Packet Analysis 삽질기 - Basic Level 1RDP Packet Analysis 삽질기 - Basic Level 1
RDP Packet Analysis 삽질기 - Basic Level 1
 
Windows forensic artifacts
Windows forensic artifactsWindows forensic artifacts
Windows forensic artifacts
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
 
DLL 인젝션
DLL 인젝션DLL 인젝션
DLL 인젝션
 
빅데이터와 보안
빅데이터와 보안빅데이터와 보안
빅데이터와 보안
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
 
그로스 해킹(Growth Hacking)
그로스 해킹(Growth Hacking)그로스 해킹(Growth Hacking)
그로스 해킹(Growth Hacking)
 
2차원 평면상에서 가장 먼 두 점 구하기
2차원 평면상에서 가장 먼 두 점 구하기2차원 평면상에서 가장 먼 두 점 구하기
2차원 평면상에서 가장 먼 두 점 구하기
 
WinFE: The (Almost) Perfect Triage Tool
WinFE: The (Almost) Perfect Triage ToolWinFE: The (Almost) Perfect Triage Tool
WinFE: The (Almost) Perfect Triage Tool
 
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
제12회 IT4U 강연회 - 악성코드 분석 잘하고 싶어요
 
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)악성코드 개념 및 대응 기술 (사이버 게놈 기술)
악성코드 개념 및 대응 기술 (사이버 게놈 기술)
 

Similar to (Fios#02) 7. 윈도우 10 포렌식 분석

(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatilityYoungjun Chang
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 
(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debuggerINSIGHT FORENSIC
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iiiINSIGHT FORENSIC
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iiiINSIGHT FORENSIC
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensicsINSIGHT FORENSIC
 
FileMaker Medical Presentation
FileMaker Medical PresentationFileMaker Medical Presentation
FileMaker Medical Presentation정권 김
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)INSIGHT FORENSIC
 
(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulationINSIGHT FORENSIC
 
(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulationINSIGHT FORENSIC
 
[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅NAVER D2
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장eungjin cho
 
작품요약서 이영식
작품요약서 이영식작품요약서 이영식
작품요약서 이영식Yeongsik
 
Windows7처음다루기 it전문교육
Windows7처음다루기 it전문교육Windows7처음다루기 it전문교육
Windows7처음다루기 it전문교육parkso
 
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital ForensicDonghyun Kim
 
[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅종빈 오
 
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)Sang Don Kim
 

Similar to (Fios#02) 7. 윈도우 10 포렌식 분석 (20)

(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics
 
FileMaker Medical Presentation
FileMaker Medical PresentationFileMaker Medical Presentation
FileMaker Medical Presentation
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)
 
(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation
 
(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation(120218) #fitalk forensic impact according to the firmware manipulation
(120218) #fitalk forensic impact according to the firmware manipulation
 
[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅[232] 성능어디까지쥐어짜봤니 송태웅
[232] 성능어디까지쥐어짜봤니 송태웅
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
 
작품요약서 이영식
작품요약서 이영식작품요약서 이영식
작품요약서 이영식
 
Windows7처음다루기 it전문교육
Windows7처음다루기 it전문교육Windows7처음다루기 it전문교육
Windows7처음다루기 it전문교육
 
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
 
[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅
 
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)
[Td 2015]70분에 보여준다. 웹표준을 지원하는 edge 브라우저부터 웹 앱 개발까지(김영욱)
 

More from INSIGHT FORENSIC

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 

(Fios#02) 7. 윈도우 10 포렌식 분석

  • 1. 윈도우 10 포렌식 분석 플레인비트 대표 김진국 jinkook.kim@plainbit.co.kr
  • 2. Digital Forensics Specialist Group Page 2/30 개요 1. 포렌식 아티팩트 비교 2. NEW 아티팩트
  • 3. Digital Forensics Specialist Group Page 3/30 포렌식 아티팩트 비교
  • 4. Digital Forensics Specialist Group Page 4/30 포렌식 아티팩트 비교 운영체제 비교 Windows 8.1 Windows 10 vs
  • 5. Digital Forensics Specialist Group Page 5/30 포렌식 아티팩트 비교 메모리 수집 및 분석  기존 도구로 수집 가능!! • FDPro BY HBGary • Memorize BY MANDIANT • FTK Imager BY AccessData • … …  메모리 분석 • Volatility BY The Volatility Foundation ? • Redline BY MANDIANT ?
  • 6. Digital Forensics Specialist Group Page 6/30 포렌식 아티팩트 비교 기본 프로세스 (Processes)  윈도우 8.1 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe - winlogon.exe - dwm.exe - explorer.exe - iexplore.exe  윈도우 10 + System - interrupts - smss.exe - csrss.exe - csrss.exe + wininit.exe + services.exe - svchost.exe - RuntimeBroker.exe - MicrosoftEdgeCP.exe - MicrosoftEdgeCP.exe - MicrosoftEdge.exe - browser_broker.exe - … - svchost.exe - spoolsv.exe - MsMpEng.exe - SearchIndexer.exe - lsass.exe + winlogon.exe - dwm.exe - explorer.exe - iexplore.exe - OneDrive.exe
  • 7. Digital Forensics Specialist Group Page 7/30 포렌식 아티팩트 비교 기본 프로세스의 주요 변화  추가 내용 • MS Edge 브라우저 관련 프로세스  svchost.exe 하위에 존재  RuntimeBroker.exe  MicrosoftEdgeCP.exe  MicrosoftEdge.exe  brower_broker.exe • OneDrive 관련 프로세스 추가  OneDrive를 이용한 클라우드 서비스 지원  탐색기에서 바로 접근 가능
  • 8. Digital Forensics Specialist Group Page 8/30 포렌식 아티팩트 비교 파일시스템 (Filesystem)  파일시스템 • NTFS 그대로 사용  볼륨 할당 • 부트 볼륨 크기 변화  100MB  500MB
  • 9. Digital Forensics Specialist Group Page 9/30 포렌식 아티팩트 비교 파일시스템 로그 (Filesystem Logs)  로그 경로  변화 없음!! • $LogFile • $Extend$UsnJrnl:$J  분석 도구  분석 잘됨!! • NTFS LogTracker (△) • X-Ways Forensics (O) • EnCase Forensic (O)
  • 10. Digital Forensics Specialist Group Page 10/30 포렌식 아티팩트 비교 프리패치 (Prefetch)  프리패치 경로  변화 없음!! • %SystemRoot%Prefetch  데이터 구조  변경됨!! • 압축 사용  압축 해제 : RtlDecompressBufferEx()  압축 알고리즘 : COMPRESSION_FORMAT_XPRESS_HUFF (XPRESS HUFFMAN)  윈도우 8.1 슈퍼패치에서 사용 (MEMO/MEMo  MAM) • 압축 확장  슈퍼패치만 압축  프리패치+ 슈퍼패치 모두 압축 • http://blog.digital-forensics.it/2015/06/a-first-look-at-windows-10-prefetch.html (w10pfdecomp.py) • https://github.com/libyal/libagdb/blob/master/documentation/Windows%20SuperFetch%20%28DB%29%20format.asciidoc
  • 11. Digital Forensics Specialist Group Page 11/30 포렌식 아티팩트 비교 레지스트리 하이브 (Hives)  하이브 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 User Account %UserProfileNTUSER.DAT %UserProfileAppDataLocalMicrosoftWindowsUsrClass.dat SYSTEM Account %SystemRoot%System32configsystemprofileNTUSER.DAT LocalService Account %SystemRoot%ServiceProfileLocalServiceNTUSER.DAT NetworkService Account %SystemRoot%ServiceProfileNetworkServiceNTUSER.DAT BBI, BCD-Template COMPONENT, DEFAULT DRIVERS, ELAM, FP SAM, SECURITY SOFTWARE, SYSTEM %SystemRoot%System32config##### RegBack %SystemRoot%System32configRegBack##### AmCache %SystemRoot%appcompatProgramsAmcache.hve Package(App) Setting %UserProfile%AppDataLocalPackages(AppName)Settingssettings.dat Package(App) Config %UserProfile%AppDataLocalPackages(AppName)ActivationStoreActivationStore.dat
  • 12. Digital Forensics Specialist Group Page 12/30 포렌식 아티팩트 비교 링크 파일 (LNK)  링크 파일 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Start Menu Places ProgramDataMicrosoftWindowsStart Menu Places*.lnk Start Menu ProgramDataMicrosoftWindowsStart MenuPrograms**.lnk UsersDefaultAppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %UserProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsStart MenuPrograms**.lnk WinX Group UsersDefaultAppDataLocalMicrosoftWindowsWinXGroup#*.lnk %UserProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk %ServiceProfile%AppDataLocalMicrosoftWindowsWinXGroup#*.lnk Quick Launch UsersDefaultAppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %UserProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk %ServiceProfile%AppDataLocalMicrosoftInternet ExplorerQuick Launch*.lnk Send To UsersDefaultAppDataRoamingMicrosoftWindowsSendTo*.lnk %UserProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk %ServiceProfile%AppDataRoamingMicrosoftWindowsSendTo*.lnk Application(App) Shortcuts %UserProfile%AppDataLocalMicrosoftWindowsApplication Shortcuts*.lnk Recent %UserProfileAppDataRoamingMicrosoftWindowsRecent*.lnk Links %UserProfile%Links*.lnk
  • 13. Digital Forensics Specialist Group Page 13/30 포렌식 아티팩트 비교 점프 목록 (Jump List)  점프 목록 경로, 구조  변화 없음!! 유형 윈도우 10 경로 Automatic %UserProfile%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations Custom %UserProfile%AppDataRoamingMicrosoftWindowsRecentCustomDestinations
  • 14. Digital Forensics Specialist Group Page 14/30 포렌식 아티팩트 비교 썸네일 캐시 (ThumbCache)  썸네일 캐시 경로  변화 없음!! • %UserProfile%AppDataLocalMicrosoftWindowsExplorer  썸네일 캐시 파일  구조 약간 변화, 기존 도구 사용에 지장 없음!! 윈도우 8.1 윈도우 10 thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db thumbcache_1600.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_16.db thumbcache_32.db thumbcache_48.db thumbcache_96.db thumbcache_256.db thumbcache_768.db thumbcache_1280.db thumbcache_1920.db thumbcache_2560.db thumbcache_idx.db thumbcache_sr.db thumbcache_exif.db thumbcache_wide.db thumbcache_wide_alternate.db thumbcache_custom_stream.db
  • 15. Digital Forensics Specialist Group Page 15/30 포렌식 아티팩트 비교 아이콘 캐시 (IConCache)  아이콘 캐시 경로 변화 없음!! • %UserProfile%AppDataLocalIconCache.db (기존) • %UserProfile%AppDataLocalMicrosoftWindowsExplorericoncache*  아이콘 캐시 파일  구조 변화 없음!! 윈도우 8.1 윈도우 10 iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_1024.db iconcache_1600.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_16.db iconcache_32.db iconcache_48.db iconcache_96.db iconcache_256.db iconcache_768.db iconcache_1280.db iconcache_1920.db iconcache_2560.db iconcache_idx.db iconcache_sr.db iconcache_exif.db iconcache_wide.db iconcache_wide_alternate.db iconcache_custom_stream.db
  • 16. Digital Forensics Specialist Group Page 16/30 포렌식 아티팩트 비교 이벤트 로그 (Event Logs)  이벤트 로그 경로  변화 없음!! • %SystemRoot%System32winevtLogs*.evtx  주요 이벤트 로그 • Application.evtx • Security.evtx • System.evtx • Microsoft-Windows-Application-*.evtx • Microsoft-Windows-AppXDeployment*.evtx • Microsoft-Windows-DateTimeControlPanel*.evtx • Microsoft-Windows-DeviceSetup*.evtx • Microsoft-Windows-Kernel-Pnp/Device*.evtx • … …  Sysinternale SysMon (System Monitor)!!
  • 17. Digital Forensics Specialist Group Page 17/30 포렌식 아티팩트 비교 휴지통 ($Recycle.Bin)  휴지통 경로  변화 없음!! • $Recycle.Bin[SID]  휴지통 파일  구조 일부 변화!! • $R : 삭제된 파일 데이터 • $I : 삭제 정보  일부 구조 변경  파일명에 따라 가변 크기를 가짐 (이전에는 544바이트로 고정)  Resident 파일…?
  • 18. Digital Forensics Specialist Group Page 18/30 포렌식 아티팩트 비교 볼륨 섀도 복사본 (VSC; Volume Shadow Copy)  VSC 경로  변화 없음!! • System Volume Information  VSC 파일  구조 변화 없음!! • vssadmin 명령 그대로~!!  안티포렌식 기법의 일반화@ • VSC에 대한 정책을 마련하여 관리할 필요가 있음
  • 19. Digital Forensics Specialist Group Page 19/30 포렌식 아티팩트 비교 윈도우 인덱싱 서비스 (Windows Indexing Service)  파일 경로  변화 없음!! • ProgramDataMicrosoftSearchDataApplicationsWindowsWindows.edb  파일 구조  ESE(Extensible Storage Engine) DB
  • 20. Digital Forensics Specialist Group Page 20/30 포렌식 아티팩트 비교 알림 (Notification)  Modern UI (Metro UI) 앱 알림 • %UserProfile%AppDataLocalMicrosoftWindowsNotificationsappdb.dat • 캐시 형태로 저장, 아직 구조 역분석 (X)  XML 카빙(byte-level)을 통해 정보 획득 • ㅌ
  • 21. Digital Forensics Specialist Group Page 21/30 포렌식 아티팩트 비교 윈도우 스토어 (Windows Store)  윈도우 앱 스토어 • %UserProfile%AppDataLocalPackagesMicrosoft.WindowsStore_############# • HKLMSOFTWAREMicrosoftWindowsCurrentVersionAppxAppxAllUserStore
  • 22. Digital Forensics Specialist Group Page 22/30 포렌식 아티팩트 비교 윈도우 디펜더 (Windows Defender)  윈도우 AV • ProgramDataMicrosoftWindows Defender • 윈도우 10에서 더욱 강화!!  실시간 보호  클라우드 기반 보호  샘플 전송
  • 23. Digital Forensics Specialist Group Page 23/30 NEW 아티팩트
  • 24. Digital Forensics Specialist Group Page 24/30 NEW 아티팩트 Edge Browser  Edge 홈 폴더 • %UserProfile%AppDataLocalPackagesMicrosoft.MicrosoftEdge_############# • 브라우저 설정, 캐시 파일, 쿠키 파일 저장  Edge 아티팩트 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat • 히스토리, 쿠키 정보, 다운로드 목록 등
  • 25. Digital Forensics Specialist Group Page 25/30 NEW 아티팩트 WebCache  WebCache 경로 • %UserProfile%AppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat  WebCache 기록되는 정보 • Internet Explorer (10+) • Package: microsoft.accountscontrol • Package: microsoft.microsoftedge • Package: microsoft.bingnews • Package: microsoft.office.onenote • Package: microsoft.windows.authhost • Package: microsoft.windows.cloudexperiencehost • Package: microsoft.windows.cortana • Package: microsoft.windowscommunicationapps • Package: microsoft.windowsstore
  • 26. Digital Forensics Specialist Group Page 26/30 NEW 아티팩트 Cortana  윈도우 개인 비서 (created by Windows Phone 8.1) • %UserProfile%AppDataLocalPackagesMicrosoft.Windows.Cortana_############# • 음성 인식, Remind 기능, …
  • 27. Digital Forensics Specialist Group Page 27/30 NEW 아티팩트 Email (Mail Application)  이메일 BODY • %UserProfile%AppDataLocalCommsUnistoredata**.dat • TXT, HTML 형식으로 저장  이메일 METADATA (ESE DB) • %UserProfile%AppDataLocalCommsUnistoreDBstore.vol • 이메일 헤더 • 주소록, 연락처 • 첨부파일 정보 • … …
  • 28. Digital Forensics Specialist Group Page 28/30 추가 연구 주제
  • 29. Digital Forensics Specialist Group Page 29/30 추가 연구 주제 윈도우 10에서 뭘 해보지?  OneDrive 이벤트 정리  윈도우 10 앱(App Packages) 흔적 정리 • OneDrive, OneNote, Skype, Facebook, Twitter, Windows Live, Maps, Excel, Word, PowerPoint, …  사건 유형 별 행위 아티팩트 분석 • 프로그램(EXE) 실행 • 문서 파일 실행 • 정보유출 아티팩트 분석 • 침해사고 아티팩트 분석 • … …
  • 30. Digital Forensics Specialist Group Page 30/30 질문 및 답변
  • 31. Digital Forensics Specialist Group Page 31/30 뒷풀이 장소