디지털포렌식(Digital forensic) (108) 썸네일형 리스트형 Winprefetch, 포렌식 소프트웨어 시스템에서 앱을 실행할 때마다 앱에서 로드한 파일에 대한 정보가 포함된 "프리페치 파일이 Windows 운영 체제에 의해 생성"된다. 프리페치 파일의 정보는 다음에 애플리케이션을 실행할 때 애플리케이션 로딩 시간을 최적화하는 데 사용되는데 지금 소개할 WinPrefetchView는 시스템에 저장된 Prefetch 파일을 읽고 그 안에 저장된 정보를 표시하는 작은 유틸리티다. 이 파일을 살펴보면 모든 응용 프로그램이 사용하는 파일과 Windows 부팅 시 로드되는 파일을 알 수 있다. https://www.nirsoft.net/utils/win_prefetch_view.html View the content of Windows Prefetch (.pf) files WinPrefetchView v1.37 C.. 포렌식 소프트웨어, ArtiFast Light 아래 링크를 통해 Free Light 버전을 설치한다(Free 버전은 기능 제한이 있음.). https://forensafe.com/free.html Free Version ArtiFast is timeline-based, concentrated on Artifact Analysis, and supports more than 2100 Artifacts. ArtiFast Lite 5 is the Viewer and also Free Version of ArtiFast. It allows an investigator to be able to show and analyze a case processed with any other forensafe.com New Case를 만든다. Case 이름, 번호, 내용,.. Windows 11의 휴지통에 대한 디지털 포렌식 Windows 휴지통은 Windows 95에서 처음 만들어져 현재 Windows 11까지 남아있다. 휴지통은 사용자가 삭제한 항목을 임시로 보관하는 임시 저장소다. 사용자는 휴지통에 저장된 파일이나 폴더를 영구적으로 제거할 수도, 실수로 삭제된 경우는 복구할 수도 있다. Windows 휴지통은 디지털포렌식 조사에서 필수적인 증거로 간주된다. 사용자가 삭제한 모든 항목은 일단은 처음에 휴지통에 들어가기 때문이다. 휴지통에서는 아래와 같은 정보들을 수집할 수 있다. 1. 삭제된 파일의 이름 2. 삭제 전 파일의 원래 위치 3. 삭제된 파일의 크기 4. 파일이 삭제된 날짜와 시간 Windows 2000, NT, XP 및 2003의 경우 '휴지통'은 사용자의 SID 하위 폴더 C:\RECYCLER\{SID}\I.. 16진수 Hex 편집기 HxD HxD 다운로드를 위해서는 아래 링크로 이동한다. 파일의 크기는 3.2~3.3MB 정도밖에 되지 않지만 다운속도는 상당히 느리다. Free이며, Multi 언어를 지원하기 때문에 Beginner들이 사용 추천한다. https://mh-nexus.de/en/downloads.php?product=HxD20 Downloads | mh-nexus Downloads I am looking for new translators, if you want to help, here is a list of unmaintained translations. Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and ca.. 파일의 고유한 지문, 시그니처와 푸터 파일의 시그니처(Signature)는 매직 넘버(Magic Number) 또는 매직 바이트(Magic Bytes)라고도 하는데. 매직 넘버는 파일 유형을 고유하게 식별하는 파일의 첫 번째 비트다. 푸터는 파일의 마지막에 위치하는 고유 식별 비트다. 파일 유형을 식별하기 위해 복잡한 파일 구조를 검색할 필요가 없으므로 코딩을 더 쉽게 만들어주기도 하고 가장 중요한 기능은 몇가지 파일을 제외하고는 매직 바이트는 옵셋 0에 위치하여 처음의 2~4바이트를 차지한다. 예를 들어 jpeg 파일은 ffd8로 시작한다. ffe0 0010 4a46 4946 0001 0101 0047 ......JFIF.....G ffd8은 해당 파일이 JPEG 파일임을 나타낸다. 모든 파일들에 대한 시그니처 리스트는 아래 위키피디아 링.. Web에서 Hash 값 보기 다른 포스팅에서 파일의 hash를 보는 유틸리티를 소개했지만 그처럼 설치하지 않고도 Web상에서 쉽게 확인하는 방법이 있다. 출력하는 hash 결과는 15종류로 뿌려준다. https://www.fileformat.info/tool/hash.htm Hash: online hash value calculator Hash Functions Calculate a hash (aka message digest) of data. Implementations are from Sun (java.security.MessageDigest) and GNU. If you want to get the hash of a file in a form that is easier to use in automated systems, try.. [파일] 해시값, Python으로 만드는 코드 '해시값'의 사용 방법과 필요성은 앞의 포스팅에서 설명해서 생략한다. e.g.) 2.png 라는 랜덤 파일의 해시값을 확인해본다. MD5 암호키 방식을 사용한 값을 기록해두자. 423....으로 시작하고 .......62C2로 끝난다. 이제 이 파일의 MD5 해시를 파이썬 코드로 만들어보자. 아래 파일이 Python 소스 파일이고 아래는 소스 코드다. import hashlib # 파일 경로 file_path = '2.png' # 파일을 바이너리 모드로 열고 읽음 with open(file_path, 'rb') as file: # 파일 내용을 읽어와서 MD5 해시를 계산 md5_hash = hashlib.md5() while chunk := file.read(8192): md5_hash.update(ch.. 디지털 포렌식 수사에서 "해시값(hash values)" ▋ 해시값이란 이메일, 문서, 사진 또는 여러 유형의 데이터 파일에서 생성된 고정 길이의 16진수로 구성된 숫자와 문자들의 문자열이다. 생성된 이 문자열은 해시되는 파일에 고유한 단방향 함수다. 즉, 동일한 해시 값을 생성할 수 있는 다른 파일을 찾기 위해 계산된 해시를 되돌릴 수 없다. 오늘날 가장 널리 사용되는 해싱 알고리즘은 SHA-1(Secure Hash Algorithm-1), Secure Hashing Algorithm-2 계열(SHA-2 및 SHA-256), MD5(Message Digest 5) 등이 있다. 다시 간단히 말해서 해시 값은 알고리즘을 통해 생성되고 특정 파일과 연결된 특정 숫자 문자열이다. 파일이 어떤 방식으로든 변경되고 값을 다시 계산하면 결과 해시가 달라지게 된다. 즉, .. 이전 1 ··· 3 4 5 6 7 8 9 ··· 14 다음
