Windows에서는 파일을 삭제하면 휴지통으로 이동한다.파일 우클릭 후 삭제 버튼, Delete키로 삭제, 파일을 휴지통으로 드래그. 세 방법 모두 휴지통으로 이동된다. ($LogFile에서 이동함을 확인할 수 있다)Shift + Delete로 파일을 삭제하는 방법도 있다. 이 방법은 휴지통으로 데이터가 이동하지 않고 사용자 입장에서 복원이 불가능하다. 이 경우 $MFT의 해당 파일 엔트리에 삭제 표시가 추가된다. 그래도 데이터가 완전히 사라지는 것은 아니다. 관리자cmd에서 cd C:$Recycle.Bin으로 이동한다. 휴지통 경로이다. dir /a 로 현재 경로에 있는 모든 파일을 확인할 수 있다. S-1-5로 시작하는 문자열은 사용자 계쩡을 나타내는 SID값이다. 결과의 아무 디렉토리에 들어가서 ..

프리채피와 캐시는 응용프로그램을 실행했을 때 생성되는 아티팩트이다. 프리패치 Prefetch Windows 운영체제에서 응용프로그램을 시작할 때 성능을 향상하기 위한 파일이다. %SystemRoot%\Prefetch 경로에 존재한다. 응용프로그램의 실행 정보를 프리패치 파일로 미리 저장해두고, 메모리에서 프리패치 파일을 미리 로드한다. 응용프로그램을 실행할 때 디스크가 아닌 메모리에서 정보를 빠르게 읽을 수 있도록 하여 실행 속도를 높인다.종류로는 부트 프리패치(Windows7이전 PC만 존재)와 응용프로그램 프리패치가 있다. 프리패치 분석을 통해서는 실행 파일 이름, 경로, 실행 파일 실행 횟수, 최초 실행 시간, 마지막 실행 시간, 실행된 볼륨 정보를 얻을 수 있다. 프리패치 파일은 [Filena..

범죄 행위를 계획하거나, 자료를 유출하고 악성코드를 다운로드 하는 등 악의적 목적으로 브라우저가 사용되기도한다.웹브라우저 상의 사용자 행위를 분석하기 위해서는 웹 브라우저 아티팩트를 분석해야한다. 웹 브라우저 별로 동작 방식이 약간 다르기에 아티팩트의 위치와 구조도 다르다. 웹 브라우저는 클라이언트가 웹을 쉽게 이용하도록 도와주는 응용프로그램이며, HTML코드를 처리해 사용자에게 보여주고, 사용자의 요청을 서버에 전송해준다. Chrome, 삼성인터넷, Microsoft Edge, Safari, Brave등이 여기에 해당한다. Chromium 프로젝트라는 것이 있다. 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트인데, Brave, Chrome등이 이 프로젝트를 기반으로 만들어졌다. 기반이 Chromi..

이벤트 로그사용자 로그인, 시스템 시작/종료, 프로세스 실행 등 Windows 동작 과정에서 발생하는 다양한 이벤트를 기록한 파일이다.*계정 생성, 높은 권한 부여, 커맨드를 이용한 프로그램을 실행하는 등 악성코드의 동작을 알아내기에 유용하다.PowerShell Fileless 악성코드 또한 이벤트 로그에 기록을 남긴다. Windows에서 제공하는 이벤트 로그 분석도구로 이벤트 뷰어가 있다.주요 항목응용 프로그램(Application) : 응용프로그램(시스템 구성요소 제외) 에서 발생한 이벤트 기록. 작업 성공 여부, 동작 중 오류 여부 등 기록보안(Security) : 파일 열기/만들기 등 시스템 리소스 사용 이벤트, 로그인 성공/실패, 시스템 보안 정책 변경 등의 보안이벤트 (기록할 이벤트 유형 변..

$LogFile과 $UsnJrnl은 파일의 생성, 변경, 삭제 이력을 추적할 수 있다. $LogFile파일시스템의 저널링(Journaling)기능을 위해 존재하는 파일이다. *저널링 : 데이터 변경을 디스크에 반영하기 전에 행위를 기록해, 문제가 발생했을 때 복구할 수 있도록 하는 기능(작업 이전으로 시스템 복원) 저널링의 단위는 트랜잭션(Transaction)인데, 쪼갤 수 없는 업무 처리의 최소단위이다. 파일/디렉토리 생성·수정·삭제가 여기에 해당한다. $LogFile은 이러한 트랜젝션을 기록한다. 수집 및 분석 경로 : [root]\$LogFile ($MFT도 분석에 함께 사용)도구 : NTFS Log Tracker, DB Browser for SQLiteDB Browser SQLite로 DB 조회..

레지스트리?Windows 운영체제에서 사용자, 시스템, 프로그램 실행과 관련된 설정들을 저장할 수 있는 계층형 데이터베이스시스템 정보 (시스템 시간, 버전), 사용자 계정, 환경 변수 등... 많은 정보가 들어있다.*계층형 데이터 베이스 : 데이터가 트리형태의 구조로 조직되어 반복적인 부모-자식 관계를 가지는 것💡 디지털 포렌식에서 레지스트리는 반드시 수집해야할 아티팩트. 분석 대상 시스템의 기본정보, 시간정보는 기본으로 수집, 사용자의 응용프로그램 실행 흔적, USB연결 흔적도 파악할 수 있다. 레지스트리 편집기 Regedit주황색 박스를 레지스트리 경로, 빨간색 박스 레지스트리 값이라고 부른다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 의 경로에는 설..

아티팩트 Artifacts디지털 포렌식에서 디지털 증거는 크게 보관증거와 생성증거로 나눌 수 있다.보관증거 : 디지털 증거 중, 사람이 직접 작성한 데이터. ex) 문서, 메모 ...생성증거 : 사용자의 직접적 개입 없이, 자동으로 생성된 증거.ex) 컴퓨터 부팅 → 이벤트로그, 프로그램 실행 → 프리패치... 운영체제, 파일시스템 또는 애플리케이션이 생성한 데이터아티팩트는 운영체제나 애플리케이션을 사용하면서 생성된 흔적을 의미한다. 생성증거에 속하며 일정한 구조를 띄는 데이터이다. 아티팩트의 종류분류, 아티팩트 - 주요 획득 가능 데이터 순이다. 아티팩트로부터 추출할 수 있는 것은 조각난 정보일 뿐이므로, 해석은 분석가가 해야한다.시스템 파일 레지스트리 - 시스템 전반에 대한 설정 데이터&MFT, &L..