포렌식/기초부터 따라하는 디지털 포렌식20 Recycle Bin 개념 및 실습 [Recycle Bin] 휴지통(Recycle Bin)은 파일을 삭제하고, 복원하거나 영구 삭제할 수 있다. 파일 탐색기 보기 설정에서 숨긴 항목을 표시하면 로컬 디스크 (C:)에서 $Recycle Bin 폴더를 확인할 수 있다. 휴지통 폴더는 볼륨 단위로 생성된다. 따라서 로컬 디스크로 인식되는 경우에만 생성되고, USB 등 이동식 디스크 및 네트워크 드라이브 등은 생성되지 않는다. 휴지통 아이콘은 모든 볼륨의 휴지통 폴더를 통합하여 보여준다. 그러나 하나의 폴더로 존재하는 것은 아니다. [Practice] 실습을 위해 test.txt를 만든 다음 파일을 삭제한다. 1. 휴지통 아티팩트(파일 삭제 시) 휴지통 폴더의 경로는 \$Recycle.Bin\\이다. 해당 경로로 이동한 다음 다시 S-1-5-21.. 2022. 7. 30. Windows Search 개념 및 실습 [Windows Search] Windows 검색 기능으로 작업 표시줄 아이콘을 클릭하거나 Windows + S 단축키를 눌러 실행할 수 있다. Windows Indexing은 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행하는 것을 말한다. 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱 되며, 텍스트가 포함된 파일의 경우에는 콘텐츠가 인덱싱 된다. 설정\개인 정보 및 보안\Windows 검색에서 확인할 수 있다. Windows.edb에는 Windows Search에 사용하기 위한 Indexing 정보가 저장되어 있다. %ProgramData%\Microsoft\Search\Data\Applications\Windows 경로에서 Windows.edb를 확인할 수 있다. W.. 2022. 7. 29. VSS(Volume Shadow Copy Service) 개념 및 실습 [VSS] VSS는 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능을 말한다. 즉, 시스템 복원 기능을 말하며 컴퓨터 전체를 복원 지점으로 되돌리거나 특정 파일/폴더를 이전 버전으로 되돌릴 수 있다. 시스템 속성\시스템 보호에서 복원 지점을 만들 수 있다. 구성 버튼을 누른 다음 시스템 보호 사용 설정과 디스크 공간 설정을 진행한다. 설정을 적용한 다음 만들기 버튼을 클릭하면 시스템 복원 지점이 만들어진다. [Practice] cmd에서 명령어를 통해서도 VSS 확인이 가능하다. vssadmin list shadows 명령어를 입력하면 복사본이 생성되는 것을 확인할 수 있다. 섀도 복사본 볼륨를 이용하여 파일 탐색기를 사용한 접근이 가능하다. "mklink /d \.. 2022. 7. 29. Event Logs 개념 및 실습 [Event Logs] 로그란 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것을 말한다. 이벤트 로그(Event Logs)는 Windows 운영체제에서 시스템의 로그를 남기는 방식으로 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있다. 이벤트 로그에는 시스템 로그, 응용 프로그램 로그, 보안 로그 등이 존재한다. 이벤트 로그에는 응용 프로그램 로그, 보안 로그, Setup 로그, 시스템 로그, 응용 프로그램 및 서비스 로그 등이 존재한다. 각각에 대한 설명은 아래와 같다. 응용 프로그램 로그: 데이터베이스 오류나 AV 로그와 같이 시스템 구성 요소를 제외한 응용 프로그램에서 발생한 이벤트 기록을 말한다. 기록할 이벤트 유형은 응용 프로그램 개발자가 결정한다. 보안 로그: 파일 만들기, 열기.. 2022. 7. 29. Windows Timeline 개념 및 실습 [Windows Timeline] Windows에서 지원하는 Timeline 기능으로 사용자가 실행하고 있는 응용 프로그램, 사용자가 과거에 실행했던 응용 프로그램을 확인할 수 있다. 최대 30일의 사용자 행위를 보관한다. Timeline 기능을 통해 시간에 따른 사용자의 행위를 추적할 수 있고, 응용 프로그램의 구체적인 사용 시각을 알 수 있다. Timeline은 Windows + Tab 버튼을 눌러 확인할 수 있다. 설정\개인 정보 및 보안\활동 기록에서 ‘이 장치에 내 활동 기록 저장’ 설정을 통해 설정을 활성화할 수 있다. Timeline은 Windows 10에서 2018년부터 추가된 기능이지만 Windows 11에서는 지원이 중단되었다. 하지만 동일한 경로에서 데이터가 생성되며, 설정\개인 정보.. 2022. 7. 29. ThumbnailCache & IconCache 개념 및 실습 [ThumbnailCache] 썸네일(Thumbnail)은 미리보기 파일을 의미한다. Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있다. ThumbnailCache는 분석 대상 PC에 해당 파일이 존재하였음을 나타낸다. 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않는다. ThumbnailCache의 경로는 아래와 같다. %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 해당 경로에 들어가면 "thumbcache_{크기}.db" 형식의 ThumbnailCache를 확인할 수 있다. [IconCache] Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시를 말한다. 일반적인 폴더나 파일은 공통의 아이콘을 사용하.. 2022. 7. 29. 이전 1 2 3 4 다음
