DarkSoul.Story

OpenSaveMRU OpenSaveMRU는 Windows셸 대화 상자(열기 또는 다른 이름으로 저장 등)를 통해 모든 응용 프로그램에서 액세스 한 파일을 추적하는 Windows 레지스트리 키이다. Windows 탐색기에서 최근에 열거나 저장된 파일 정보를 저장하는 역할을 하며, Internet Explorer와 같은 Web Browsers뿐만 아니라 일반적으로 사용되는 대부분의 Applications을 포함하는 빅 데이터 세트이다. 디지털 포렌식에서 OpenSaveMRU Artifact OpenSaveMRU/OpenSavePidMRU 키에는 열기 또는 다른 이름으로 저장 대화 상자를 통해 모든 응용 프로그램에서 액세스 한 파일의 전체 경로가 포함되어 있다. 이러한 유형의 정보는 다운로드한 파일 및 사용..

공격자가 시스템의 보안 이벤트 로그를 조작하거나 삭제하는 것이 점점 더 보편화되고 있으며, 상황에 따라 RDP 세션이 유형 10 로그온으로 이벤트 기록되지 않는 경우도 있다. RDP 활동은 다양한 프로세스가 관련될 때 여러 다른 로그에 이벤트로 기록된다. 1. 이벤트 ID, 이벤트 ID 설명 및 이벤트 사양 2. 이유 코드 3. RDP 성공 RDP 성공의 경우 아래 표에서 이벤트 ID 4624 로그온 유형을 참조하여 로그온 서비스/모드를 식별 4. RDP 실패 RDP 실패의 경우 아래 표에서 이벤트 ID 4625 상태 코드를 참조하여 로그온 실패 이유를 확인 5. Reference https://ponderthebits.com/category/remote-desktop/ https://community...

이메일은 대부분의 이메일 클라이언트에 표시되는 내용보다 훨씬 더 많은 정보가 포함되어 있다. 특히 이메일 헤더에는 발신자에 대한 많은 정보가 포함되어 있으며, 이메일 헤더 정보는 이메일의 발송지에 대한 추적에 사용할 수 있는 정보이다. 이메일 주소를 추적하는 이유는 이 시대에는 악성 이메일이 너무 자주 발생합니다. 사기, 스팸, 맬웨어 및 피싱 이메일은 받은 편지함에서 흔히 볼 수 있다. 이메일의 출처를 추적하면 이메일이 누가 또는 어디에서 왔는지 약간 확인할 수 있다. 또한 이메일의 출처를 추적하여 스팸, 악성 콘텐츠의 출처를 지속적으로 차단하여 받은 편지함에서 영구적으로 제거할 수 있다. 대부분의 이메일 클라이언트는 전체 이메일 헤더를 표시하지 않다. 그 이유는 이메일 헤더는 기술 데이터로 가득 차 ..

Linux OS는 무료로 사용할 수 있으며, 대부분의 기업에서 사용하고 있다. Linux 시스템에서 커널이나 데몬, 스케줄링 등 여러 프로그램에서 발생한 이벤트들은 각 서비스별로 구분되어 기록된다. Linix 초기에는 로그와 관련된 패키지를 syslog를 사용하였으나, 이후 syslog의 기능을 대폭 강화한 rsyslog로 대체되었다. rsyslog는 rsyslogd 데몬으로 실행되며 멀티스레드나 TCP, SSL과 같은 여러 기능을 지원하고 MySQL과 같은 데이터베이스와 출력 포맷 제어 등 다양한 기능을 가지고 있다. 아래 Linux 로그 디렉터리 및 파일 목록은 일반적인 상황이며, syslog 또는 rsyslog 설정 파일에서 로그가 저장되는 경로를 별도로 지정할 수 있다는 것을 기억해야 한다. 또한..

Windows에서는 다양한 프로세스가 동작하고 있다. 다양한 프로세스 중 일부 프로세스는 운영체제의 일부이며, 다른 프로세스는 시작 시 자동으로 실행되거나 사용자 또는 공격자가 수동으로 실행하는 응용프로그램들이다. Windows의 정상적인 기능을 알면 잠재적인 멀웨어를 빠르게 찾는데 도움이 된다. 1. svchost.exe (service host) svchost.exe는 Windows 서비스에 대한 일반 호스트 프로세스로 서비스 DLL을 실행하는 데 사용된다. Windows는 유사한 서비스를 그룹화하기 위해 각 고유한 "-k" 매개변수를 사용하는 svchost.exe의 여러 인스턴스를 실행한다. 일반적인 "-k" 매개변수에는 BTsvcs, DcomLaunch, RPCSS, LocalServiceNetw..