1.9

디지털 포렌식 유틸

기존 hash를 보완하기 위해

Fuzzy hash 등장

 

 

FTK Imager

 

Md5, sha1 확인

Evidence Tree -> 우클릭 -> verify drive/image

Or

Properties 상태창에서 확인

 

 

날짜 : Date /t

시간 : Time /t

서버 구동시간 : Net stats srv | findstr –i “since 이후”

부팅시간 : Systeminfo | findstr –i “time : 시간:”

부팅시간 : Wmic os get lastbootuptime

각 프로세스 커맨드라인 정보 : tlist –c

태스크 트리 정보 : tlist –t

각 프로세스 서비스 활동 정보 : tlist –s

네트워크 인터페이스 정보 : ipconfig /all

DNS 캐쉬 정보 : ipconfig /displaydns

Mac  정보 : getmac

Arp 테이블 정보 : arp –a

네트워크 연결 정보 : netstat -ano

라우팅 테이블 정보 : netstat –rn

 route print

사용자 계정 정보 : net user

그룹 정보 : net localgroup

 

시스템 공유 정보 : net share

공유자원 접속 정보 : net session

Nbt에 연결된 세션 정보 : nbtstat -c

 

숨겨진 디렉토리 목록 : dir /s /b /ahd “%HOMEDRIVE%\”

디렉토리 목록 : dir /s /o-d “%HOMEDRIVE%\”

 

 

 

HxD 프로그램 활용

• FAT32 MBR 구조
• NTFS 구조
• 컴파운드파일 구조