게시글
질문&답변
2024.04.06
Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다.
안녕하세요, 답변이 늦었습니다. 해당 프로그램의 경우 DFRC(고려대학교 디지털포렌식연구센터)에서 개발한 도구로, 현재 내부 사이트 개편 과정에서 다운로드가 잠시 안 되는 것으로 보입니다. 제가 한 번 연락해보겠습니다만, 빠르게 개선될 것 같지는 않다는 점 전해드립니다. 감사합니다.
- 1
- 2
- 95
질문&답변
2024.04.06
USB.001 파일이 다운이 안됩니다.
안녕하세요, 답변이 늦었습니다. 해결 되셨는지 확인 부탁드립니다.
- 0
- 2
- 80
질문&답변
2024.04.06
FTK Imager 용량 줄이는 방법
안녕하세요, 답변이 늦었습니다. 해당 경우에는 디스크 이미지 저장이 불가합니다. 이유는 생성되는 디스크 이미지보다 저장 공간의 여분이 부족하기 때문입니다. 가능하시다면 디스크 크기가 작은 USB를 이용해 실습을 진행해주시길 바랍니다. 감사합니다.
- 0
- 2
- 91
질문&답변
2024.04.06
해당 강의를 기반으로 네이버 블로그에 정리를 해도 될까요?
안녕하세요, 답변이 늦었습니다. 포스팅 얼마든지 가능합니다! 출처를 명시해주시면 더욱 감사하겠습니다. 감사합니다.
- 0
- 2
- 107
질문&답변
2024.04.06
autopsy다운로드 error메세지
안녕하세요, 답변이 늦었습니다. 당연히 기본적인 환경 세팅부터 어려운 것이니, 너무 죄송해하지 않으셔도 됩니다. 오히려 제가 잘 알려드렸어야 했는데 죄송하네요. 다만, 질문 주신 상황이 정확하게 판단할 수가 없습니다. "autopsy_4.21.o-64bit misi는 일반적으로 다운로드 되지 않습니다" 라는 메시지가 발생하기 까지 어떤 과정을 거치셨는지 추가적인 정보를 부탁드립니다. 감사합니다.
- 0
- 2
- 91
질문&답변
2024.04.06
Windows 11에 추가, 변경된 아티팩트가 있어서 공유합니다.
안녕하세요, 좋은 정보 감사합니다. 다음 강의를 만들 때에는 해당 정보 꼭 추가해서 만들도록 하겠습니다. 이 질문을 보시는 수강생 여러분들도 Windows 11로의 변화에 맞춰 해당 아티팩트를 학습하시기를 추천드립니다. 다시 한 번 감사드립니다.
- 0
- 2
- 147
질문&답변
2024.04.06
RLA 결과가 이상합니다 ㅜㅜ
안녕하세요. 답변이 늦었습니다. 명령어를 올바르게 입력한 것인지 다시 확인이 필요해 보입니다. rla -d --out 포맷으로 입력한 것이 맞을까요?
- 0
- 2
- 98
질문&답변
2024.04.06
지금도 답변 해주시나요??
안녕하세요. 답변이 늦었습니다. 만드신 파일이나, 만드신 과정이 정확하지 않았던 것 같아요. 몇 가지 가능한 상황 정리해 보내드립니다. 1) 1640번 프로세스 파일이 정상적인 exe 파일이 맞는지, exe 구조를 확인해보세요. 직접 실행하기 보다는 PE Viewer 같은 도구로 구조 확인해보세요. 2) 추출 커맨드가 정확한지 다시 확인해보시길 바랍니다. 3) 영상과 파일 크기가 유사한지 확인해보시길 바랍니다. 4) strings 설치가 올바른지 확인해보시길 바랍니다. 정확하게 따라한 것이 맞다면, 메모리 이미지와 도구가 같기 때문에 같은 결과가 나와야 정상입니다. 다만 전달해주신 정보로는 원인을 예측하기가 쉽지 않네요.. 감사합니다.
- 0
- 2
- 134
질문&답변
2024.01.07
메모리 포렌식은 재부팅 이후 불가능하죠?
안녕하세요. 열심히 공부하고 계시는 것 같아 멋지십니다. 서버/일반 컴퓨터에서 재부팅이 발생하는 경우에는, 메모리 덤프와 분석 자체가 불가하지는 않습니다. 그러나 재부팅 과정에서 메모리에 남아있는 데이터들이 대부분 손실될 것입니다. 상황에 따라서는 데이터가 남아 있는 경우도 있습니다. 예를 들어, 악성코드가 재부팅 이후에도 잔존하는 경우(실제로 악성코드에서 재부팅해도 권한을 유지하기 위해 많이 사용합니다)가 있습니다. 그러나 재부팅하면 100%는 아니더라도 많이 사라지는 것으로 알고 있습니다. 감사합니다.
- 0
- 2
- 307
질문&답변
2024.01.07
pslist, psscan, pstree를 한 줄 씩 입력하지 않고 한꺼번에 처리할 수는 없나요?
안녕하세요. 훈지손입니다. 말씀하신대로 리눅스 환경에서는 | (pipe)를 이용해서 결과를 전달하기도 합니다. 제 경험 상으로 volatility에서는 pipe를 이용해 한 번에 처리하는 것 보다는 아래와 같은 방법을 많이 사용했던 것 같습니다. batch 스크립트(Windows) 혹은 bash 스크립트(Linux)를 이용해서 여러 줄의 명령어 동시 실행 Python을 이용한 자동화 Volatility 코드 자체가 Python으로 짜여져있고, Python으로 코딩할 수 있는 기능들을 제공하므로, volatility 내부 구조를 조금 이해한다면 python으로 더욱 다양하고 자연스러운 기능 구현 가능 위처럼 하지 못하는 경우에도, 파일 입출력이나 명령어 실행 등을 python을 이용해서 구현 가능 도움이 되었으면 좋겠습니다. 감사합니다.
- 0
- 2
- 89