본문 바로가기

전체 글125

Jumplist 개념 및 실습 [Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다. 경로는 아래와 같다. %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations [Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\AppData\Roaming\.. 2022. 7. 28.
바로가기(.LNK) 개념 및 실습 [바로가기(.LNK)] 바로가기는 Windows Shortcut이라는 명칭으로도 불리며 ".lnk" 확장자를 가지고 있다. 바로가기를 생성하는 방법으로는 사용자가 직접 생성, 프로그램 설치 시에 생성, 운영체제가 자동으로 생성하는 방법들이 존재한다. 바로가기가 생성되는 경로는 아래와 같다. 바탕 화면 %UserProfile%\Desktop 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 빠른 실행 %ProgramData%\Microsoft\Internet.. 2022. 7. 27.
$LogFile, $UsnJrnl 개념 및 실습 [$LogFile] 저널링(Jounaling) 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원한다. 트랜잭션(Transaction) "쪼갤 수 없는 업무 처리의 최소 단위"로 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등의 이벤트 등을 말한다. $LogFile에는 메타 데이터의 트랜잭션 저널 정보가 들어있다. 메타 데이터는 파일이 가지고 있는 속성 데이터이다. [$UsnJrnl] 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일.. 2022. 7. 27.
$MFT 개념 및 실습 [MFT(Master File Table)] MFT는 NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조이다. 하나의 파일당 하나의 MFT 엔트리를 가지며, $MFT는 MFT 엔트리들의 집합을 말한다. 이때, $는 Windows 환경에서의 시스템 파일을 의미한다. MFT 엔트리는 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있으며 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다. [MFT Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 [root]\$MFT를 추출한다. 추출한 $MFT을 보기 위해 MFTExplorer를 다운로드한다. https://ericzimmerman.git.. 2022. 7. 27.
Windows Registry 실습 [Registry 파일 추출] 각각의 레지스트리가 raw 상태로 존재할 때, 이를 clean으로 만들어서 result으로 저장해야 한다. 실습을 위해 registry 폴더를 만들어 그 안에 각각 raw, clean, result 폴더를 만들어준다. FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한다. root\Users\사용자 계정으로 접속한다. 사용자 계정에 들어가면 NTUSER.DAT, ntuser.dat.LOG1, ntuser.dat.LOG2 파일을 확인할 수 있다. 3개의 파일을 함께 선택한 다음에 Export files 버튼을 누른다. registry\raw 폴더에 Export files 한 파일을 저장한다. root\windows\S.. 2022. 7. 23.
Registry 개념 및 실습 [Windows Artifacts] Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소, Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있다. 프로세스, 시스템에서 자동으로 생성한 데이터인 생성 증거와 사람이 기록하여 작성한 데이터인 보관 증거가 있는데 Windows Artifacts는 생성 증거에 해당한다고 볼 수 있다. 즉, 사용자의 행위에 따라 자동으로 만들어진 데이터를 추적하여 사용자의 행위를 분석하는 것이 Windows Artifacts의 목적이다. Windows Artifacts의 종류로는 Registry, $MFT, $Logfile, $UsnJrnl, LNK, JumpList, Recycle Bin, Prefetch & Cach.. 2022. 7. 17.

티스토리툴바