[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #2
[포렌식] 윈도우 카카오톡 데이터베이스 복호화 분석 및 구현 #2
2024.03.24#1 에서는 윈도우 카카오톡 데이터 베이스 복호화 분석을 진행했다. #2 에서는 자동화 하는 기능을 소개하려고 한다. 일단 Pragma를 생성하기 위해서 레지스트리에 접근해야하지 않는가? def get_pragma() : DeviceInfo_Path = "Software\Kakao\KakaoTalk\DeviceInfo" keypath = winreg.OpenKey(winreg.HKEY_CURRENT_USER, DeviceInfo_Path, 0, winreg.KEY_READ) reg_path = winreg.QueryValueEx(keypath, "Last")[0] DeviceInfo_Key_Path = DeviceInfo_Path +"\\" + reg_path keypath = winreg.OpenKey..
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
[Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information)
2020.03.31[ CMD - Scheduled Task / Job Information ] schtasks schtasks /query /fo LIST /v schtasks /query /fo LIST /v | findstr "Task To Run:" schtasks /query /fo LIST /v | findstr "appdata" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "exe" schtasks /query /fo LIST /v | select-string "Enabled" -CaseSensitive -Context 10,0 | findstr "Task" schtasks /query /f..
[Forensics] Windows - Pagefile Information
[Forensics] Windows - Pagefile Information
2020.03.27wmic pagefile wmic pagefile 명령어를 통해서 자신의 PC의 pagefile의 정보를 파악 할 수있다. C:\Users\pental>wmic pagefile AllocatedBaseSize Caption CurrentUsage Description InstallDate Name PeakUsage Status TempPageFile 4352 C:\pagefile.sys 748 C:\pagefile.sys 20200129172709.706676+540 C:\pagefile.sys 1752 FALSE AllocatedBaseSize, Caption, CurrentUsage, Description, InstallDate, Name, PeakUsage, Status, TempPageFile 에..
[Forensics] Windows - 방화벽 정보
[Forensics] Windows - 방화벽 정보
2020.03.27netsh Firewall show state netsh advfirewall firewall show rule name=all dir=in type=dynamic netsh advfirewall firewall show rule name=all dir=out type=dynamic netsh advfirewall firewall show rule name=all dir=in type=static netsh advfirewall firewall show rule name=all dir=out type=static netsh Firewall show state CMD에서 볼수 있듯이 방화벽의 프로필, 작동모드 예외 모드 멀티캐스트 / 브로드캐스트 응답모드, 알림 모드, 그룹 정책 버전, 원격 관리 모드 등..
[Forensics] Windows - 유저와 관리자 정보 가져오기
[Forensics] Windows - 유저와 관리자 정보 가져오기
2020.03.26whoami whoami /user net users net localgroup administrators net group /domain [groupname] net user /domain [username] wmic sysaccount wmic useraccount get name,SID wmic useraccount list whoami whoami /user whoami, whoami /user 명령어를 통해서 사용자의 이름과 SID 값을 구할 수 있다. net users net localgroup administrators net user, net localgroup administrators 명령어를 통해서 사용자의 계정이 어떤 것이 있는지와, 별칭을 확인 할 수 있다 wmic sysaccou..
[Forensics] Windows - 시스템 정보 가져오기
[Forensics] Windows - 시스템 정보 가져오기
2020.03.26get-computerinfo echo %DATE% %TIME% date /t time /t reg query "HKLM\System\CurrentControlSet\Control\TimeZoneInformation" systeminfo wmic computersystem list full wmic /node:localhost product list full /format:csv wmic softwarefeature get name,version /format:csv wmic softwareelement get name,version /format:csv reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /s echo %PATH% (gci en..
[Forensics] Windows - 로그인 정보
[Forensics] Windows - 로그인 정보
2020.03.26wmic netlogin list /format:List query user qwinsta klist sessions C:\Windows\system32>wmic netlogin list /format:List AccountExpires= AuthorizationFlags=0 BadPasswordCount=0 Comment= CountryCode=0 Description=Network login profile settings for on DESKTOP-4K1BO95 Flags=66081 FullName= HomeDirectory= HomeDirectoryDrive= LastLogoff=**************.******+*** LastLogon=20200326201400.000000+540 Logon..