https://yum-history.tistory.com/293
[Windows Artifacts] Amcache
[Windows Artifacts] Amcache (1) Amcache란? 윈도우 7에서의 RecentFileCache.bcf 파일이 윈도우 8에서는 Amcache.hve 파일로 대체 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일 응용 프로그램의 실..
yum-history.tistory.com
| 타임 스탬프 계산 프로그램 (0) | 2022.01.20 |
|---|---|
| Encase 에서 raid 구성하기 (0) | 2021.12.20 |
| Message Analyzer (0) | 2021.11.08 |
| 플스 4 파티션 구조 (0) | 2021.04.15 |
| x-way 사용법에 대한 메뉴얼 (0) | 2021.04.14 |
네트워크 트래픽 및 이벤트 로그 기록 확인 프로그램
2016년 까지 개발되고 지금은 개발 및 배포가 중단됨
그나마 github 에 어느 유저가 올려놓은게 있어서 사용은 가능함
설치해보니 설치 잘되는것이 확인됨
https://github.com/riverar/messageanalyzer-archive
GitHub - riverar/messageanalyzer-archive: Microsoft Message Analyzer EOL Archive
Microsoft Message Analyzer EOL Archive. Contribute to riverar/messageanalyzer-archive development by creating an account on GitHub.
github.com
| Encase 에서 raid 구성하기 (0) | 2021.12.20 |
|---|---|
| Amcache (0) | 2021.12.17 |
| 플스 4 파티션 구조 (0) | 2021.04.15 |
| x-way 사용법에 대한 메뉴얼 (0) | 2021.04.14 |
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
몇일전 지랄맞은 파티션에 대해 확인 중이였는데...그 지랄맞은건 플스4 디스크였다.....된장
물론 지금 검색된 자료는 과거의 버젼으로 지금 확인되는 파티션은 신형구조라 일부 다를수 있지만, GPT구조를 가지고 15개의 파티션으로 쪼갠것은 동일하다
그외 특이점으로는 암호화되었다는거? 근데 1번째 URL에서 확인되는것처럼 암호화된 파일이라고 표기된거 보면....데이터 조작을 막기 위해 암호화 했긴했을것같다.
저널에서 확인되는 p s 4의 바이너리 검새하였으나 발견되지 않는 상태고, 데이터 전체가 비할당 영역에 난수로 된거봐서는 삭제했던가 아니면 암호화로 보임
참고한 자료
www.psu.com/forums/threads/ps4-hdd-has-15-partitions.323781/
PS4 HDD has 15 partitions??
When I got my PS4 at launch on the 29th November I replaced the factory HDD with a 1TB HGST SATA 3 HDD and so I never booted the original HDD, I recently moved the 500GB factory PS4 HDD into the optibay of my macbook pro as a secondary internal HDD for ran
www.psu.com
bbs.ruliweb.com/ps/board/300421/read/19725362
플4 하드디스크는 파티션 구조가 엄청 괴랄한가 보네요 | 플레이스테이션 게임 이야기 | 루리웹
하드디스크를 7200rpm 1테라로 교체하고 기존 500기가 하드를 외장하드로 쓰려고컴터에...
bbs.ruliweb.com
| Amcache (0) | 2021.12.17 |
|---|---|
| Message Analyzer (0) | 2021.11.08 |
| x-way 사용법에 대한 메뉴얼 (0) | 2021.04.14 |
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
ccibomb.tistory.com/1181?category=948290
[X-Ways Forensics] 1 시작하기
1. X-ways는 포터블 버전으로 설치없이 실행 가능하다. Setup.exe는 단순히 전체 파일을 Program Files 내 복사 후 바탕화면에 링크파일 생성해 주는게 전부이므로, 굳이 설치할 필요가 없다. 2. X-ways 설치
ccibomb.tistory.com
이 사이트에 x-way 사용 메뉴얼이 잘 정리되어있어서 남긴다. 페이지가 많아 인쇄를 않하기에...제발 삭제하지 않아주셨으면 좋겠다
| Message Analyzer (0) | 2021.11.08 |
|---|---|
| 플스 4 파티션 구조 (0) | 2021.04.15 |
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
| RDP(원격데스크톱 프로토콜)의 이벤트 ID 1149 에 대한 정보 (0) | 2021.01.20 |
암호화 걸려있는 파티션 정보에서 GPT 구조를 2개의 블로그를 통해 확인할 수 있었다....
X-WAY, EnCase에서 파티션 파싱이 제대로 되지 않으며, GPT 구조는 MBR 구조를 가지고 있지 않나보다...한참 헤맸다.
하지만 구조만 알았지 결국 내부 데이터는 파싱 실패....ㅠㅠㅠㅠ 망할
jackpark88.blogspot.com/2017/09/gpt.html
GPT 디스크 이해
GPT (GUID Partition Table) 디스크 GPT 디스크란 ? GPT 디스크는 , EFI (Extensible Firmware Interface) 라고 불리우는 BIOS 를 대체할 목적으로 개발되어진 인터페이스...
jackpark88.blogspot.com
[디스크 포렌식] GPT 파티션 분석
GPT 파티션 - 최근 많이 사용되는 EFI 시스템에서 사용되는 디스크 형식 - MBR과 마찬가지로 디스크 정보 포함 - LBA 방식 사용 - 파티션 생성 시 처음 부분과 마지막 부분에 여유 공간을 두어 MBR -> GPT
s0ng.tistory.com
항상 사이트가 폐쇄될지 모른다는 불안감에 인쇄하여 첨부하는 쫄보....ㄷㄷㄷ ㅋㅋ
[디스크 포렌식] GPT 파티션 분석.pdf
1.05MB
GPT 디스크 이해 _ Jack's Blog.pdf
0.65MB
| 플스 4 파티션 구조 (0) | 2021.04.15 |
|---|---|
| x-way 사용법에 대한 메뉴얼 (0) | 2021.04.14 |
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
| RDP(원격데스크톱 프로토콜)의 이벤트 ID 1149 에 대한 정보 (0) | 2021.01.20 |
| 윈도우 UserAssist 개요 및 분석 (0) | 2021.01.15 |
| x-way 사용법에 대한 메뉴얼 (0) | 2021.04.14 |
|---|---|
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
| RDP(원격데스크톱 프로토콜)의 이벤트 ID 1149 에 대한 정보 (0) | 2021.01.20 |
| 윈도우 UserAssist 개요 및 분석 (0) | 2021.01.15 |
| bat파일을 이용해 txt 문서 목록 파일들 복사하기 (0) | 2020.10.27 |
port139.hatenablog.com/entry/2019/03/23/091740
RDP and ID 1149 "Remote Desktop Services: User authentication succeeded:" - @port139 Blog
Note:I translated Japanese into English using Google Translate.Thank you, Google. Summary: Windows 10: ID 1149 is recorded when Alice's account is successfully logged on via RDP. Windows 10: If you specify the RestrictedAdmin option, the username and domai
port139.hatenablog.com
참고 : Google 번역을 사용하여 일본어를 영어로 번역했습니다.
감사합니다, Google.
요약:
----------
이벤트 ID 1149는 어떤 종류의 사용자 작업을 기록합니까? Windows 10 환경에서 기록을 확인합시다.
Windows 10 (1809)에서 원격 데스크톱을 활성화합니다. NLA가 켜져 있습니다.
Windows Server 2019에서 "mstsc.exe"를 시작합니다. IP 주소가 연결 대상으로 지정됩니다.
Alice 계정이 성공적으로 로그온되면 ID 1149가 "Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational"에 기록됩니다.
사용자가 비밀번호를 잘못 입력하는 등 인증에 실패한 경우 ID 1149는 기록되지 않습니다.
RDP 연결을 끊고 다시 연결하면 ID 1149가 기록됩니다.
사용 Remmina를 RDP 클라이언트로. 로그온이 성공하면 ID 1149가 기록됩니다.
mstsc에 지정된 / restrictedadmin 옵션으로 실행됩니다. (레지스트리 설정을 변경하고 RestrictedAdmin 모드를 활성화했습니다.)
로그온에 성공하면 ID 1149가 기록되지만 사용자 이름과 도메인은 비어 있습니다.
루프백 주소에서 포트 전달이 사용되는 경우.
다른 사용자가 로그온하고 세션 중재가 발생하고 "아니오"를 선택합니다. 이 경우에도 ID 1149가 기록됩니다. (이 화면이 표시되면 Alice 계정이 성공적으로 로그인 된 것입니다. ID 4624가 기록됩니다.)
다음으로 NLA를 끕니다.
rdesktop을 RDP 클라이언트로 사용합니다. 이 경우 Alice 계정이 성공적으로 로그온 되어도 ID 1149는 기록되지 않습니다 .
<추가>
Windows 7 RDP에서는 다음 화면을 볼 수 있습니다. 그러나 Windows 10에서 동일한 상황을 재현 할 수 없었습니다.
그래서 @ grayfold3d 에서 댓글을 받았습니다 ! 감사합니다!
자세한 내용은 그의 트윗을 참조하십시오.
.RDP 파일을 만들고 끝에 다음을 추가했습니다.
enablecredsspsupport : i : 0
예상했던 다음 화면이 표시되었습니다!
그래서 이벤트 로그를 확인했습니다. ID 1149는 기록되지 않았습니다.
위 화면이 표시된 후 Alice가 성공적으로 로그온하더라도 ID 1149는 기록되지 않습니다.
</ add>
[참고]
ID 1149의 녹화 패턴은 Windows 7과 Windows 10에서 다릅니다.
PS
그건 그렇고, 나는 mstsc "/ public"옵션을 몰랐습니다. 이 옵션은 레지스트리 및 비트 맵 캐시를 억제합니다.
https://yamanxworld.blogspot.com/2015/01/public.html
확인 환경 : Windows Server 2019 1809, Windows 10 1809, 표준 시간대 UTC
참조 URL :
https://www.13cubed.com/downloads/rdp_flowchart.pdf
RDP 이벤트 로그 DFIR
https://dfironthemountain.wordpress.com/2019/02/15/rdp-event-log-dfir/
dfironthemountain.wordpress.com
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
|---|---|
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
| 윈도우 UserAssist 개요 및 분석 (0) | 2021.01.15 |
| bat파일을 이용해 txt 문서 목록 파일들 복사하기 (0) | 2020.10.27 |
| 구글 드라이브 포렌식 기술 (0) | 2020.09.24 |