$MTF, $LogFile, $UsnJrnl, .LNK, Jumplist
해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..
Windows Registry 동작원리
해당 포스트는 Windows 포렌식과 Registry에 대한 이론적인 부분에 대한 내용입니다. 1. Windows ArtifactsArtifacts의 사전적 의미로는 "유물", "인공물" 이라는 뜻을 가지고 있지만 포렌식에서는 아래와 같은 의미가 나타낸다.Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거: 프로세스. 시스템에서 자동으로 생성한 데이터(Windows Artifacts는 생성증거에 해당)보관증거: 사람이 기록하여 작성한 데이터(1) Windows Artifacts 종류 레지스트리$MFT, $Logfile, $UsnJrnlLNKJumpListRecycle Bin(휴지통)Prefetch..