분류 전체보기 (137) 썸네일형 리스트형 [파일] 비번용 6자리 영단어 100개, 생성코드 100개지만 소스 코드의 100을 1000, 10000으로 바꾸면 저장되는 데이터가 커진다. ※ 주의할 것은 '6자리로 된 영어단어'라는 한계치를 준다면 100개 이상이 존재할 확률이 떨어질 수 있다. python으로 만든 코드다. 실행 전 아래처럼 faker라는 라이브러리를 먼저 설치한다. 다음에 random6.py 라는 이름으로 파이썬 소스 파일을 만든다. # -*- coding: utf-8 -*- from faker import Faker fake = Faker() word_list = set() while len(word_list) < 100: word = fake.word() if len(word) == 6: word_list.add(word) word_list = list(word_list) .. JPG 파일 구조 분석 #1 JPEG는 이미지 파일 형식이 아니라 알고리즘이다. 보여지는 JPEG 이미지는 내부적으로 JPEG 압축 알고리즘을 사용하는 JFIF 형식(JPEG File Interchange Format)이다. 앞의 포스팅에서 보여준 파일을 다시 한 번 보여주고, 테스트를 위한 파일을 첨부한다. JPG 파일의 시작은 ff d8로 시작한다. ff d8은 JPG 파일의 시작을 의미한다. ff d8이 JPG 파일을 나타내기 때문에 고유한 이 값을 '마커(Marker)'라고 부른다. ff d8을 SOI라고 하는데 Start Of Image의 약어다. 파일의 마지막은 ff d9으로 끝나야 한다. JPG는 Segment들로 구성되고, 각 각의 Segment는 Marker로 시작하는데 마커값은 ff로 시작하고 그 뒤에 마커의 종류.. [파일] JPG 파일 만드는 C# 코드 JPG 이미지 파일을 가지고 몇가지 포렌식 테스트를 하기 위해 먼저, C#으로 32(pixel) × 32(pixel)의 JPG 파일을 만들도록 한다. 0,0 픽셀부터 32,32 픽셀까지 픽셀의 데이터값이 순차적으로 증가되는 형태로 만든다. Code는 C#이며, 코드는 아래에 첨부한다. 단, 코드를 Copy & Paste하기 전에 nuget에서 System.Drawing.Common을 설치하기 위해 이 패키지를 사전에 설치해주도록 한다. 각 패키지는 해당 소유자에 의해 사용이 허가되었습니다. NuGet은 타사 패키지에 대해 책임을 지지 않으며 라이선스를 부여하지도 않습니다. 일부 패키지에는 추가 라이선스에 의해 관리되는 종속성이 포함되어 있을 수 있습니다. 패키지 소스(피드) URL로 이동하여 종속성을 확.. 사생활이 기록된 Index.dat 분석기 Index.dat 분석기는 index.dat 파일의 내용을 찾아보고 검사, 삭제하는 도구다. ▍index.dat 파일이란 Index.dat 파일은 온라인 활동, 인터넷 접속 위치, 방문한 사이트(방문기록), URL 목록, 최근에 액세스한 파일 및 문서의 모든 트랙이 포함된 컴퓨터의 숨겨진 파일이다. 모든 컴퓨터에는 Index.dat 파일이 숨겨져있으며 이 파일만 찾아 보게되면 컴퓨터 사용자가 무엇에 관심이 있는지 사생활을 엿볼 수 있다. ▍index.dat 파일은 왜 있을까? 이 파일의 존재는 오직 Microsoft만이 알고 있다. MS에 따르면 이 파일은 "방문한 웹 사이트 속도를 빠르게 캐시하고 Internet Explorer 속도를 높이는 데 사용된다"고 한다. 하지만, MS의 이 말은 사실이 아니.. 대체 데이터 스트림(ADS) 검출과 삭제방법 - 디지털포렌식 Microsoft의 NTFS(New Technology File System)는 Windows NT 3.1에서 HDD의 데이터를 효과적으로 관리하기 위해 1993년에 도입됐다. Apple의 리소스 포크와 데이터 포크 기능을 모방한 방식으로 만들어진 것이 ADS(Alternate Data Stream)이고, 한국 말로하면 대체 데이터 스트림이라 한다. Microsoft 버전인 ADS는 파일 내용을 분리하지 않고 원본 파일에 직접 연결되지만 최종 사용자에게는 보이지 않는 별도의 파일/스트림을 생성하는 기능이다. FAT방식은 '속성+데이터'만 갖지만 NTFS 방식은 '속성+메인스트림+대체스트림들'로 구성된다. NTFS가 아닌 FAT에 ADS가 포함된 파일을 복사하면? 지원되지 않기때문에 모두 사라진다. 대체 .. Winprefetch, 포렌식 소프트웨어 시스템에서 앱을 실행할 때마다 앱에서 로드한 파일에 대한 정보가 포함된 "프리페치 파일이 Windows 운영 체제에 의해 생성"된다. 프리페치 파일의 정보는 다음에 애플리케이션을 실행할 때 애플리케이션 로딩 시간을 최적화하는 데 사용되는데 지금 소개할 WinPrefetchView는 시스템에 저장된 Prefetch 파일을 읽고 그 안에 저장된 정보를 표시하는 작은 유틸리티다. 이 파일을 살펴보면 모든 응용 프로그램이 사용하는 파일과 Windows 부팅 시 로드되는 파일을 알 수 있다. https://www.nirsoft.net/utils/win_prefetch_view.html View the content of Windows Prefetch (.pf) files WinPrefetchView v1.37 C.. 포렌식 소프트웨어, ArtiFast Light 아래 링크를 통해 Free Light 버전을 설치한다(Free 버전은 기능 제한이 있음.). https://forensafe.com/free.html Free Version ArtiFast is timeline-based, concentrated on Artifact Analysis, and supports more than 2100 Artifacts. ArtiFast Lite 5 is the Viewer and also Free Version of ArtiFast. It allows an investigator to be able to show and analyze a case processed with any other forensafe.com New Case를 만든다. Case 이름, 번호, 내용,.. Windows 11의 휴지통에 대한 디지털 포렌식 Windows 휴지통은 Windows 95에서 처음 만들어져 현재 Windows 11까지 남아있다. 휴지통은 사용자가 삭제한 항목을 임시로 보관하는 임시 저장소다. 사용자는 휴지통에 저장된 파일이나 폴더를 영구적으로 제거할 수도, 실수로 삭제된 경우는 복구할 수도 있다. Windows 휴지통은 디지털포렌식 조사에서 필수적인 증거로 간주된다. 사용자가 삭제한 모든 항목은 일단은 처음에 휴지통에 들어가기 때문이다. 휴지통에서는 아래와 같은 정보들을 수집할 수 있다. 1. 삭제된 파일의 이름 2. 삭제 전 파일의 원래 위치 3. 삭제된 파일의 크기 4. 파일이 삭제된 날짜와 시간 Windows 2000, NT, XP 및 2003의 경우 '휴지통'은 사용자의 SID 하위 폴더 C:\RECYCLER\{SID}\I.. 이전 1 ··· 6 7 8 9 10 11 12 ··· 18 다음
