https://geun-yeong.tistory.com/m/73

윈도우 11에서  explore  오류로 인해 마우스 오른쪽 이나 폴더를 실행 시 깜빡이기만 하고 다시 복구 되는 현상이 있는데

이떄 이렇게 하면 어느정도 사용은 가능하더라

다만 아직 완벽하게 문제되는 부분이나 수리가 되는 부분은 찾지 못함. 임시 방편임

sfc /SCANNOW

이고 이명령어는 시스템 검사기로 오류여부를 확인하는 명령어이다

아참 그리고 관지라 모드의  CMD로 실행해야하는데 이거 하는방법은 검색에서 CMD 누르고 마우스 오른쪽 누르면 '관리권한으로 실행'이라고 있음. 그걸로 실행하면됨

왤까......윈도우 11에서의 버그 부분을 인식못하는건가...그리고 신기한건 저렇겍 한번 실행해놓으면 다 정상적으로 동작한다. 폴더도 잘 들어가지고 마우스 오른쪽도 실행된다....근데 시스템 검사에서 항상 문제없단다 ㅋㅋㅋㅋㅋ

뭐 이런 거지같은.....

-----------------------------------------------------------------------------------

그냥 저냥 심심해서 BAT 만들어봄

이거 그냥 받아서 실행하시면 되요

CMD 시스템 권한 기능은 요거 보고 따라했음

https://jinseongsoft.tistory.com/194

여기서 좀 더 수정하면 레지스트리 RUN쪽에 자동 등록시켜서 켜지면 그냥 실행되게 해버리게 만들려고함

---------------------------------------

이유를 모르겠으나 BAT 파일은 안됨....그냥 CMD 관리자 권한으로 열어서 명령어 직접 입력해야함. ㅠㅠ

-------------------------------------------

4.3. chap gpt에게 위의 문제점을 물어봤다.

오~~~~집에가서 한번 해봐야겠다. 되면 대박~!!!

------------------------------------------

업데이트 하고 나서 sfc로 해결되는게 자꾸 풀리면서 계속 마우스 오른쪾이 안된다...이제 해결책을 찾아야 할 것같다. 

이것저것 찾아보다가 비슷한 사례가 있는것 같아서 참고해서 해보려고 한다.

참고  url : https://geniusdm.tistory.com/entry/Windows-10-%EB%A7%88%EC%9A%B0%EC%8A%A4-%EC%9A%B0%ED%81%B4%EB%A6%AD-%ED%99%94%EB%A9%B4-%EA%B9%9C%EB%B9%A1%EC%9E%84

Windows 10 마우스 우클릭 화면 깜빡임

윈도우 10 사용 중 갑자기 작업 표시줄, 폴더, 파일 대상 우클릭시 잠시 멈춤 후 화면이 깜빡이면서 메뉴가 아예 나오지 않는 문제가 있다. 불편함은 말로 표현 못 한다.

해결 방법

1. 윈도우 키 + X 눌러서 좌측 하단 명령 프롬프트 ( 관리자 ) 실행
   
   ! 우클릭 먹통 현상 있을 때, 실행이 아예 안 될 수 있다.
   ! 이 경우 윈도우 키 누른 후 cmd 를 입력하면 명령 프롬프트가 검색이 되는데, 그 항목을 우클릭하면 관리자 권한 실행이 나온다.
   ! 권리자 권한으로 명령 프롬프트를 실행해준다.
   
   
2. 명령 창에 DISM.exe /online /cleanup-image /scanhealth 실행 후 완료까지 대기 ( 1분 걸림 )
   
   
3. 명령 창에 DISM.exe /online /cleanup-image /restorehealth 실행 후 완료까지 대기
   
   
4. 명령 창에 exit 입력 후 명령 프롬프트 종료.
   

우 클릭 정상화 완료.... 근데 이것으로 해결이 안되는 경우도 있다...

해결 방법2

1. 윈도우 키 + R 을 눌러서 실행 메뉴 띄운다.
   
   
2. msconfig 입력
   
   
3. 아래 옵션 체크 해제
   
   

   

재부팅 후 문제 완벽하게 해결 !!

위 내용으로 해봄., 특히 msconfig에 Problem Reports and Solutions ...이 없어서 

이걸 빼봄...나머지 하나 windows error reporting service 는 있길래 빼봄....

---------------------------------------------------------

해결됨. 위 방법으로 마우스 오른쪽눌러도 깜빡이지 않음....세상에!!너무 행복해

재부팅되어도 마우스 오른쪽 눌러도 화면이 새로고침이 되지 않는다.

휴~~~~한 1년 넘게 스트레스 받던거 해결되니 속이 다 시원하네

참고로 방법 1,2, 두개다 해봤었다.

----------------------------------------------------------------

미친 마소 놈들

진짜 빡치게 하려는걸까.....위에방법으로 바탕화면에서 마우스 오른쪽 고치니까 '내 PC'에서 마우스 오른쪽 누르니까 화면 깜임이 생기네 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

와 윈도우 11 EXPLORE 이거 어떤사람 작품인거냐....미치겠구만

-------------------------------------------------

그냥 맘 편하게 초기화 ~~~~진행했다.

윈도우 11 기능에서 개인데이터 남기고 윈도우 초기화 기능이 있어서 로컬 윈도우 11 선택하고 밀어버렸다. ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ

개인데이터는 남아있고 설치한 프로그램들만 문제가 있는데 그냥 다시 깔면돼...

그리고 내 골치아프게 했던  explore 및 업데이트 오류는 해결되었다.....잘된다...너무잘된다....마우스 오른쪽도 되고 화면도 안꺼지고.....업데이트도 잘되고...ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ

이런증상이면 그냥 초기화해라.....마음이 너무 편해졌다.

이제 관련된 글은 빠이빠이다. 윈도우 11 진짜 애증이다 애증

     모바일 포렌식을 수행한 적이 있다면 Facebook의 Messenger 앱을 접했을 가능성이 있습니다. 익숙하지 않은 분들을 위해 Facebook은 브라우저가 아닌 모든 다이렉트 메시지를 위한 독립형 "메신저" 애플리케이션을 만들어 트래픽[및 비즈니스 모델]을 더 잘 처리하기로 결정했습니다. 이 앱은 2017년에 10억 명의 사용자를 달성했으며 그 이후로 꾸준히 증가하고 있습니다(forbes).

       일반적인 스마트폰 장치에는 메신저 프로젝트의 코드명인 'com.facebook.katana' 데이터베이스가 포함되어 있습니다. 이 로컬 데이터베이스(2018년 7월 기준)에는 수많은 사용자 데이터가 포함된 수많은 테이블이 있습니다. 연락처, 메시지 대화, 타임스탬프 등은 모두 조사관이 선택하기에 무르익었습니다. 불행히도 Facebook Messenger는 Windows 10 OS에서 그다지 친숙하지 않습니다.

Windows 10 App Store에서 Facebook Messenger에 저장되는 데이터는 무엇입니까?

      놀랍게도 이 응용 프로그램은 로컬 및 클라우드 스토리지의 아름다운 조화를 사용합니다. 모바일 장치에 있는 데이터베이스와 다소 유사한 데이터베이스를 찾을 수 있을 것이라고 생각하여 이 Windows 앱 개요를 살펴보았습니다. 일부 sqlite 데이터베이스 파일  은 Windows에 존재하지만 모바일 버전의 파일과 크게 다릅니다. 신중한 검색을 통해 간접적으로 가능한 사례 증거로 사용할 수 있는 데이터베이스 파일을 4개만 찾았습니다. fbomnistore.db  , orca2.db, p2p_transfer.db  및 searchstore.db입니다. 

fbomnistore.db:

이 데이터베이스에서 검색할 데이터의 대부분은 사용자 계정 로그 및 앱 세부 정보에 중점을 둡니다. 다음 경로에서 찾을 수 있습니다.

C:\Users\[사용자]\AppData\Local\Packages\ Facebook.317180B0BB486_8xx8rvfyw5nnt\ LocalState\ osmeta_cache\groupcontainer-group.com.facebook.Messenger\Dsenger_contact_DB454929-7BCD-42B5-5065\contactmess

이 데이터베이스에 있는 29개의 테이블 중 3개만 우리와 관련이 있습니다. 첫 번째는 "client_activity_log" 입니다. 이 테이블은 애플리케이션이 다른 데이터를 '새로고침'한 마지막 시간과 같은 사용자 계정에 대한 애플리케이션 데이터를 표시합니다. 가능한 로그 항목에는 연락처/메시지 수집 또는 대기열에 대한 스냅샷을 요청하는 사용자의 클라이언트가 포함될 수 있습니다. 조사자는 메시지를 애플리케이션으로 가져온 시간과 애플리케이션이 메시지, 연락처 및 스레드에 대한 업데이트 요청을 마지막으로 실행한 시간과 같은 특정 작업을 추론할 수 있습니다.

"collection_index# "는 연락처, 통화 등을 다루는 테이블 모음의 서문입니다. 조사관은 시스템에서 발생한 전화 통화와 모든 메신저 연락처에 대한 자세한 정보를 볼 수 있습니다. 연락처 이름, 친구인 경우, 심지어 Facebook에 연결된 전화번호와 같은 반값 필드를 제공합니다.

"library_metadata" 는 이 데이터베이스에서 마지막으로 유용한 테이블입니다. 여기에서 특정 작업이 마지막으로 발생한 시간에 대한 항목을 찾을 수 있습니다. 여기에는 메시지, 연락처, 통화 및 업데이트에 대한 마지막 확인이 포함됩니다.

p2p_transfer.db: 

많은 사람들은 Facebook에 자체 내장형 포인트 투 포인트 결제 시스템이 있다는 사실을 잊습니다. 이 테이블 내에서 과거 지불 요청 및 성공적인 거래에 대한 정보를 검색할 수 있습니다. 이 데이터베이스의 경로는 다음과 같습니다.

C:\Users\[사용자]\ AppData\ Local\Packages\ Facebook.317180B0BB486_8xx8rvfyw5nnt\LocalState\AppData\Local\osmeta\_store_5CBB0E4E-4F61-4478-A100-02BCCA1563B0\p2

사용자 계정에 대한 모든 지불 요청은 " p2p_requests" 테이블에 기록됩니다. 여기에서 돈을 요청하는 사람의 Facebook ID, 이 요청과 관련된 ID, 지불을 요청하는 사람 및 완료된 이체에 대해 이체 ID가 표시됩니다. 또한 거부/승인된 요청 상태, 예상 통화, 요청 생성 시간 및 업데이트 시간, 요청에 첨부된 메모 및 요청의 url/Facebook 스레드 ID와 함께 표시됩니다.

"p2p_transfers"  는 클라이언트의 사용자 계정이 다른 Facebook ID로 송금한 경우에 대해 동일한 정보를 많이 보유합니다.

orca2.db: 

마지막으로 사용자 메시지 처리를 담당하는 데이터베이스에 도착합니다. 이 데이터베이스의 경로는 다음과 같습니다.

C:\Users\[사용자]\ AppData\ Local\Packages\ Facebook.317180B0BB486_8xx8rvfyw5nnt\LocalState\osmeta_cache\ groupcontainer -group.com.facebook.Messenger\_store_DB454929-7BCD-42B5-B9805-EDvssenger.messenger

유감스럽게도 이 데이터베이스 내에서 실제 메시지 내용을 찾을 수 없습니다. Facebook은 사용자의 모든 메시지를 서버에 저장한 다음 "messages" 테이블 내에서 "msg_id"를 할당하여 특정 메시지를 연결하는 것으로 보입니다. 고맙게도 테이블은 메시지의 스레드 ID와 타임스탬프를 제공합니다. " thread_summaries" 테이블은 한 단계 더 나아가 모든 Facebook 메시지 스레드의 이름, 스레드의 마지막 메시지 타임스탬프 및 그룹의 사용자 지정 이름을 제공합니다. 모든 "fbid_from_thread_key" 항목은 URL " www.facebook.com/messages/t /" 끝에 개별적으로 배치 하여 메시지 스레드를 직접 열 수 있습니다. *참고로 이 스레드와 해당 콘텐츠를 제대로 보려면 사용자가 Facebook에 로그인해야 합니다.

"folder_type"은 메시지 스레드의 현재 상태를 알려주는 " thread_summaries " 테이블 내의 필드 항목 입니다. 지금까지 다음 플래그의 의미를 알아냈습니다.

• 플래그: 1 = 스레드에 메시지가 있음
• 플래그: 2 = 메시지가 보류 상태이며 수락 또는 거부되지 않았습니다.
• 플래그: 5 = 이 스레드에서 보내거나 받은 메시지가 없습니다.

searchstore.db: 

내 발견에 따르면 이 데이터베이스는 사용자 계정이 Facebook 사용자를 검색하거나 프로필을 본 경우 모든 인스턴스를 보유합니다. 이 데이터베이스의 경로는 다음과 같습니다.

C:\Users\[사용자]\ AppData\Local\ Packages\ Facebook.317180B0BB486_8xx8rvfyw5nnt\LocalState\AppData\Local\osmeta\_store_5CBB0E4E-4F61-4478-A100-02BCCA1563B0\ Messenger_search

" blob_storage " 및 " search_tokens " 테이블 은 이 데이터베이스의 중요한 데이터를 보유합니다. " search_tokens "로 이동하면 이 호스트의 계정이 프로필을 검색하거나 방문한 Facebook 사용자의 이름과 관련 fbid를 찾을 수 있습니다. 그런 다음 " blob_storage " 테이블로 이동하여 동일한 fbid를 찾아 마지막 검색/프로필 보기의 타임스탬프를 찾을 수 있습니다.

요약:

모바일 장치의 응용 프로그램과 달리 Facebook Messenger의 사용자 콘텐츠와 데이터의 대부분은 클라우드에 저장됩니다. 이 메타데이터의 주요 용도는 Facebook에 대한 소환장이 조사에 유용한지 여부에 대한 초기 정당화로 간주됩니다. 예를 들어, 소환장을 제출하려는 노력은 메시지가 전송되지 않았다면 소용이 없을 것입니다. 또한 이러한 데이터베이스는 포렌식 이미지를 통해서만 또는 시스템의 폴더 구조를 탐색해야만 찾을 수 있다는 점에 유의해야 합니다. Windows는 지속적으로 호출하기 때문에 FTK Imager의 물리적 드라이브 마운트 기능과 같은 특정 상황에서는 채워지지 않습니다.

출처 : https://boncaldoforensics.wordpress.com/2018/07/28/facebook-messenger-windows-app-store-forensics/

번역기돌린것임

https://security.opentext.com/app

https://github.com/woanware/JumpLister

위 사이트의 분석 프로그램(백업용)

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=nobless_05&logNo=50192871384 

점프리스트의 id값은 흔힐들 프로세스에 대한 id 로 착각 할 수 있는데 설치 폴더에 대한 계산값에 대한 값으로 확인되는것을 참고바란다

즉 같은 프로그램이라도 설치 경로에 따라 id 값이 다를 수 있음., 

https://bonggang.tistory.com/120

https://www.digital-detective.net/dcode/

무료로 제공되는 툴이며, 예전에 쓰던 dcode 프로램이 설치형태로 해서 변경되어 나오는것을 확인할 수 있었다.

오~~~~~~

전에 쓰던것보다는 좋았음. 

용량이 20메가 넘어서 파일은 업로드 못하지만, 위 사이트가면 다운받을 수 있음.

raid 5에 대해 디스크 획득하여 시스템 구성하려고 하려고 아래 Encase내용 참고해서 진행했으나 안됨 ㅋㅋㅋㅋㅋ

그래서 x-ways 로 함...그래도 이건 참고용으로 남김

 추후 X-WAYS 에 대해 서술하겠음

--------------------------------------------------------

EnCases 성공, x-ways실패...이유는 x-ways가 된줄알았는데 알고본니 자동의 문제점이 mft에 대해 제대로 파싱이 되지않음

그래서 EnCase에서 수동으로 계산하여 파티션 시작주소, 전체 사이즈 등을 입력하여 mtf가 올라온것을 확인함.

음...짱나...

출처 : https://medium.com/dfclub/how-to-combine-raid-array-images-in-encase-836856cfd893

How to Combine RAID Array images in EnCase.

Guid on merging multiple RAID images (.001, .E01, etc.) into one forensic image with EnCase Forensic 8.

Rio Weber

Follow

 

Apr 19, 2017 · 3 min read

 

 

 

 

 

 

RAID — Redundant Array of Independent Disks.
EnCase — Forensic software by Guidance Software.

2. Select ALL RAID images and click Open.

3. Checkbox all images in the RAID.

5. If Successful you will arrive at this page.

6. Right-click the first RAID image, goto “Device”
Click “Scan Disk Configuration”

7. On Success, a message box should confirm the images were “Added”

8. Click “Back”

HOW TO EXPORT NEW IMAGE

./START

1. Click into new created image.

2. Right-Click image.
GoTo “Acquire” then “Acquire”.

3. Change Path to where you want to Exported Image.
Select where you want to output file to be created.
You may also be required to input “Examiner Name”.

4. Click Format.
Make sure the “Format” is in “E01”.

5. If Successful you should see “Acquiring…” at the bottom of EnCase.

./END