Windows Registry 동작원리
해당 포스트는 Windows 포렌식과 Registry에 대한 이론적인 부분에 대한 내용입니다. 1. Windows ArtifactsArtifacts의 사전적 의미로는 "유물", "인공물" 이라는 뜻을 가지고 있지만 포렌식에서는 아래와 같은 의미가 나타낸다.Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거: 프로세스. 시스템에서 자동으로 생성한 데이터(Windows Artifacts는 생성증거에 해당)보관증거: 사람이 기록하여 작성한 데이터(1) Windows Artifacts 종류 레지스트리$MFT, $Logfile, $UsnJrnlLNKJumpListRecycle Bin(휴지통)Prefetch..
Digital Forensics/Artifact
2024. 4. 1. 06:36