Forensic/Basic
Mac autopsy install
https://cybersocialhub.com/csh/installing-autopsy-on-macos-big-sur-arcpoint/
Forensic/Basic
Forensic/Basic
디포챌린지 준비
https://velog.io/@gs0351/5-디지털-포렌식 [5] 디지털 포렌식 디지털 데이터 수집 및 분석 velog.io winhex 툴 사용, E01 설명과 CRC 넣어주는 구조 https://m.blog.naver.com/saints/20017823244 [포렌식] Encase 이미지 파일 구조 분석 ---------------------------------------------------------------------------------------- Encase에서... blog.naver.com 이거는 파일 구조 FTK Imager 로 여는 사람도 있네 https://yoonchung.tistory.com/m/30 KDFS Forensics 2020 후기 및 시나리오 수사관점으로 살펴..
Forensic/Basic
Mac adb 환경변수 설정, 안드로이드 앱 데이터 추출 방법
https://linitial.tistory.com/22 [Android] ADB 환경변수 설정 For Mac 필요성 Android Studio 로 Android 개발을 하다 보면 adb shell 을 활용하여 테스트해야 하는 경우가 많습니다. 하지만 이와 관련된 환경 변수가 설정되어 있지 않다면 아래와 같은 메시지가 뜨게 되죠. $ linitial.tistory.com 일단 첫 번째로 환경변수 설정해주는 것이 중요함 이 싸이트에서 결정적으로 도움을 받았음. 시간이 남는다면 이 사이트를 정리하면 좋을 듯 https://geekloving.net/ko/mac%EC%9D%98-%EA%B2%BD%EB%A1%9C%EC%97%90-adb-%EC%84%A4%EC%B9%98-%EB%B0%8F-%EC%B6%94%EA%..
Forensic/Basic
Mac HxD (Hex Editor) / 파일 시그니처
1. 파일 시그니처 (File signature) (= file magic number) 파일 형식마다 가지고 있는 고유의 특징, 포맷에 대한 정보이다. - > 파일의 형식마다 정해져 있는 특정 byte 들이다. 파일의 처음에 있는 시그니처는 헤더(header) 시그니처 파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처이다. # 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있음. file type Header Signature (Hex) Footer Signature (Hex) JPEG FF D8 FF E0 xx xx 4A 46 49 46 FF D9 FF D8 FF E8 xx xx 45 78 69 66 GIF 47 49 46 38 3..
Forensic/Basic
.xml 파일
앱 데이터 파일을 열어보면 shared_prefs 파일에 항상 .xml 파일이 담겨있다. 모이고 (moigo) 애플리케이션에서 추출한 데이터 파일이다 . XML 파일 이란 파일 확장자가 .xml인 파일은 XML(Extensible Markup Language) 파일입니다. 이들은 문서의 구조 및 기타 기능을 설명하기 위해 사용자 정의 태그를 사용하는 단순한 일반 텍스트 파일입니다. XML은 W3C(World Wide Web Consortium)에서 만든 마크업 언어로 사람과 기계가 모두 읽을 수 있는 문서 인코딩 구문을 정의합니다. 문서 구조와 문서 저장 및 전송 방법을 정의하는 태그를 사용하여 이를 수행합니다. 웹 페이지를 인코딩하는 데 사용되는 HTML(Hypertext Markup Language)..
Forensic/Basic
안드로이드 DB 파일 추출 (adb 명령어)
* nox 로 진행 adb 명령어 순서 1. adb shell 2. su 3. cd /data/data/{packageName}/databases/ 4. cp /dtat/data/{packageName}/{DB filename}.db /data/local/tmp 5. chown shell.shell /data/local/tmp/{DB filename}.db 6. exit 7. exit 8. adb pull /data/local/tmp/{DB fileName}.db {DB fileName}.db -> adb 명령어는 adb shell 내에서 사용 불가능해서 임시디렉토리에 파일을 복사해서 넣고, 퍼미션을 바꾸는 부분을 추가로 넣어야 한다. -> 직접 해보니 adb shell 에서 pull 명령어 사용 시 d..
