1. Volatility란? - 메모리 덤프 파일 분석에 가장 많이 사용되고 있는 도구 - 오픈 소스 기반, CLI 인터페이스 제공 - 프로세스 정보와 네트워크 정보 등을 확인할 수 있음 - 프로세스 덤프 기능을 제공하여 기존에 실행되고 있던 프로세스 내용 확인 가능 - 비슷한 도구: 구글의 ReKall, 멘디언트의 Redline 등 2. 설치 https://www.volatilityfoundation.org/ 3. 플러그인 - pstree : 프로세스를 트리 형식으로 출력 - pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소) - psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소) - psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 조회 - proc..

1. 인터페이스 및 간단 사용법 Evidence Tree: 계층적 트리구조로 추가한 증거 항목을 보여준다. File List: Evidence Tree에서 선택된 항목의 파일과 폴더를 보여준다. Viewer: Preview Mode 옵션 (Natural, Text, Hex) 선택에 따라 선택된 파일의 내용을 보여준다. Properties/Hex Value interpreter: Evidence Tree이나 File List에서 선택된 객체의 다양한 정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜, 시간 값으로 변환한다. Custom Content Sources: 이미지에 포함된 내용을 보여준다. Add Evidence Item: 증거 자료를 Evidence Tree에 추가한다.Cre..

Encase 장점 - 작업물이 법률적 효력을 가질 가능성이 높다. - 확장성 및 외부 프로그램과의 호환성이 좋다. - 광범위한 기능을 지원해 전문가들이 사용하기에 좋다. 단점 - 프로그램이 비교적 비싸다. - 사용법이 복잡해 충분한 숙련도를 요구한다. FTK 장점 - 프로그램이 가벼운 편이다. - 여러 가지 종류 중 프리웨어가 있어 무료로 사용 가능하다. - 3.x 버전은 데이터베이스가 탑재되어 프로그램이 강제 종료되었을 때 재부팅하여 중지된 부분부터 다시 수사할 수 있다. - 인터페이스가 편리하고, 검색 툴이나 이메일 분석 기능 등이 포함되어 비교적 다루기 쉽다. - 거의 모든 파일 포맷을 지원한다. - 이미지 생성 전에 증거를 미리 볼 수 있어 중요한 정보를 골라내는데 유용하다. 단점 - encase..

파일시스템 - 저장매체 속 대용량의 파일을 관리하는 방법 - 원하는 파일을 빠르고 원활하게 읽거나, 쓰거나, 삭제할 수 있게 하는 역할 - 사용자 영역이 아닌 커널 영역에서 동작 - 암호화나 압축 등의 기능도 제공 저장 장치 구조 - 컴퓨터가 프로그램을 수행하려면 프로그램이 주 메모리에 있어야 함 - 적재(Load): 주 메모리로부터 CPU 내부의 레지스터로 한 word를 옮기는 것 - 저장(store): 레지스터의 내용을 주 메모리로 옮기는 것 - 하드디스크에 저장된 데이터들은 하드디스크에서 실행되지 않고 메인 메모리에 적재되어 사용됨 - 파일시스템은 하드디스크와 메인 메모리의 속도차를 줄여줌 파일시스템 구조 - 메타영역과 데이터영역으로 구분 - 메타영역: 데이터영역에 기록된 파일의 이름, 위치, 크기..