본문 바로가기

포렌식20

브라우저 아티팩트 개념 및 실습 [Web Browser Artifacts] Web Browser는 Chrome, Edge, Whale 등과 같이 인터넷을 이용하기 위해 실행하는 응용 프로그램을 말한다. Web Browser Artifacts에서 Web Browser의 데이터를 확인할 수 있는데 확인할 수 있는 데이터의 종류는 아래와 같다. History: 방문한 URL, 방문 횟수, 방문 시각 등 Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등 Cookie: 사용자 데이터, 자동 로그인 등 Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등 [Practice] 브라우저별 경로는 아래와 같다. Chrome: %UserProfile%\AppData\Local\Google\Chrom.. 2022. 7. 28.
MUICache, AmCache, ShimCache 개념 및 실습 [MUICache] MUI(Multilingual User Interface)로 Windows에서 다중 언어를 지원하기 위해 존재하는 캐시이다. 실행 파일 별로 유저 언어(한국어) 이름을 별도로 저장하고 있다. 응용 프로그램을 실행하면 캐시에 실행 파일 경로, 이름 등의 기록이 남는다. 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않는다. [MUICache Practice] MUICache의 경로는 아래와 같다. HKCU\Software\Classes\Local Settings\MuiCache HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 지원이 안 되는 경우에는 그대로 영어인 상태로 남아있.. 2022. 7. 28.
Prefetch 개념 및 실습 [Prefetch] 응용 프로그램의 빠른 실행을 위해서 존재하는 파일로 응용 프로그램을 실행할 때에 생성한다. 실행 파일 이름, 실행 파일 경로, 실행 파일의 실행 횟수, 실행 파일의 마지막 실행 시간, 실행 파일의 최초 실행 시간 등을 알 수 있다. [Practice] %SystemRoot%\Prefetch 경로에서 Prefetch를 확인할 수 있다. Prefetch를 분석하기 위해 WinPrefetchView를 다운로드한다. https://www.nirsoft.net/utils/win_prefetch_view.html View the content of Windows Prefetch (.pf) files WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir So.. 2022. 7. 28.
Jumplist 개념 및 실습 [Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다. 경로는 아래와 같다. %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations [Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\AppData\Roaming\.. 2022. 7. 28.
바로가기(.LNK) 개념 및 실습 [바로가기(.LNK)] 바로가기는 Windows Shortcut이라는 명칭으로도 불리며 ".lnk" 확장자를 가지고 있다. 바로가기를 생성하는 방법으로는 사용자가 직접 생성, 프로그램 설치 시에 생성, 운영체제가 자동으로 생성하는 방법들이 존재한다. 바로가기가 생성되는 경로는 아래와 같다. 바탕 화면 %UserProfile%\Desktop 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 빠른 실행 %ProgramData%\Microsoft\Internet.. 2022. 7. 27.
$LogFile, $UsnJrnl 개념 및 실습 [$LogFile] 저널링(Jounaling) 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원한다. 트랜잭션(Transaction) "쪼갤 수 없는 업무 처리의 최소 단위"로 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등의 이벤트 등을 말한다. $LogFile에는 메타 데이터의 트랜잭션 저널 정보가 들어있다. 메타 데이터는 파일이 가지고 있는 속성 데이터이다. [$UsnJrnl] 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일.. 2022. 7. 27.

티스토리툴바