cmd(관리자 권한으로 실행)
1. OS 정보
1) systemInfo
- 부팅시간, OS 버전, 서비스팩 정보, OS 설치시간, 표준시간대 정보, 네트워크 어댑터 정보, IP정보
2. 네트워크정보
1) ARP 테이블정보 : arp -a
2) 네트워크 상태 정보 : netstat -ano
3) 라우팅 테이블 정보 : route print
4) 공유 정보 : net share
5) NIC 정보 : getmac (mac주소 확인)
6) NIC 전체 구성 정보 : ipconfig /all
7) DNS 캐쉬 정보 : ipconifg /displaydns
8) TCP/IP 네트워크 열린 포트 정보 : cport rstext (내장된 명령은 아님 , cport.exe 파일로 실행 )
9) URL 프로토콜 정보 : urlprotocolview /stext( /stext > 텍스트파일로 뽑아줌 )
3. 프로세스 정보
:프로그램이 디스크에 있는 코드 덩어리라고 하면 프로세스는 메모리에서 실제로 실행되고있는 것. 휘발성
1) 동작중인 프로세스
- pslist /accepteula(/accepteula : 자동 동의, sysinternalsuite)
- cprocess /stext(NIR soft )
4. 사용자 정보
- 사용자 계정 정보 : net user
- 사용자의 로그온 정보 : winlogonview /stext
- 로컬과 공유 로그온 사용자 정보 : psloggedon /accepteula
- 활성화된 로그온 세션 정보 : logonsessions /accepteula
5. 시스템 정보
- 시스템 주요 정보 : psinfo
- 디스크 볼륨 정보 : psinfo -d
- 설치된 애플리케이션 정보 : psinfo -s
- 시스템 시작/종료 정보 : turnontimesview /stext
6. 사용자 행위 저보
- 프로그램 실행/파일 접근 등 정보 : lastactivityview /stext
- 웹 브라우저 검색정보 : mylastsearch /stext
7. 패스워드 정보
- 이메일 클라이언트 : mailpv /stext
- Bullet 패스워드 정보 : bulletspassivew /stext
- 네트워크 패스워드 정보 : netpass /stext
- 웹사이트 패스워드 정보 : webbroserpassview /stext
- wep/wpa 패스워드 정보 : wirelesskeyview /stext
- 원격 데스크탑 정보 : rdpv /stext
======= 비휘발성 정보 수집 ==================
(tool : forecopy_handy)
1. 프리패치 파일 수집 : forecopy_handy -p
2. VBR 수집 : forecopy_handy -f %SystemDrive%$Boot
3. $MFT 수집 : forecopy_handy -m
4. $LogFile 수집 : forecopy_handy -f %SystemDrive%\$LogFile
5. 레지스트리 하이브 수집 : forecopy_handy -g
6. 이벤트 로그 수집 : forecopy_handy -e
7. 바로가기, 점프목록 수집 : forecopy_handy -r %AppData%\microsoft\windows\recent
: lnk 파일 (바로가기 파일은 설치시에 자동으로 생성되거나 사용자가 만드는 것 둘중 하나인데, 설치시에 만들어주는 바로가기 파일은 시간정보가 없다. 사용자가 만드는 바로가기 파일은 시간정보가 있기 때문에 사용자의 의사가 반영됨)
($유에스엔저널 -> 파일의 생성등 을 알 수 있다.)
'Kitri_NCS3기 보안과정 > 디지털포렌식' 카테고리의 다른 글
| 170620 NTFS의 구조 (0) | 2017.06.20 |
|---|---|
| 170619 배치파일로 데이터 수집하기 (0) | 2017.06.19 |
| 170619 윈도우 시스템 분석 (0) | 2017.06.19 |
| 170512 컴파운드 파일 분석 (0) | 2017.05.12 |
| 170512 디지털포렌식의 특성 (0) | 2017.05.12 |
