N0cT1s41

해당 포스트는 Window Forensic에서의 ThumbnailCache, IconCache, Windows Timeline에 대한 내용을 담고 있습니다.ThumbnailCache썸네일(Thumbnail)미리보기 파일 을 의미함Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있다.%UserProfile%\AppData\Local\Microsoft\Windows\Explorerthumbcache_{크기}.dbIconCacheWindows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시공통의 아이콘을 사용(일반적인 폴더, 파일)별도의 아이콘을 사용(응용프로그램)Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관한다%UserProfile%AppData\Local\Microsoft\..

해당 포스트에는 Windows Forensic에서의 브라우저 아티팩트에 대한 개념 간단한 실습 내용을 담고 있습니다.1. Web Browser인터넷을 이용하기 위해 실행되는 응용 프로그램브라우저를 통해 하는 일들웹 검색로그인파일 다운로드영상 시청 Web Browser ArtifactsHistory: 방문한 URL, 방문 횟수, 방문 시각 등Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등Cookie: 사용자 데이터, 자동 로그인 등Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등Tools브라우저별 경로Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Edge: %UserPro..

해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..

해당 포스트는 Windows 포렌식과 Registry에 대한 이론적인 부분에 대한 내용입니다. 1. Windows ArtifactsArtifacts의 사전적 의미로는 "유물", "인공물" 이라는 뜻을 가지고 있지만 포렌식에서는 아래와 같은 의미가 나타낸다.Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 생성증거: 프로세스.  시스템에서 자동으로 생성한 데이터(Windows Artifacts는 생성증거에 해당)보관증거: 사람이 기록하여 작성한 데이터(1) Windows Artifacts 종류 레지스트리$MFT, $Logfile, $UsnJrnlLNKJumpListRecycle Bin(휴지통)Prefetch..