N0cT1s41

1. 아티팩트란?윈도우 운영체제에서는 사용자의 활동을 기록하고 관리하기 위해 다양한 아티팩트(Artifacts)를 저장합니다. 이러한 아티팩트는 사용자가 실행한 프로그램, 열어본 파일, 연결한 USB 장치 등의 정보를 포함하며, 디지털 포렌식에서 중요한 증거로 활용됩니다.이번 블로그에서는 윈도우에서 생성되는 다양한 아티팩트와 그 분석 방법을 설명하고, 포렌식적 관점에서 어떻게 활용할 수 있는지를 살펴보겠습니다. 또한, 각 아티팩트를 분석할 수 있는 도구와 사용법도 함께 소개합니다.2. 윈도우 아티팩트 종류 1). LNK 파일 (바로가기 파일) 1. 개요LNK(Link) 파일은 Windows 운영 체제에서 특정 프로그램을 실행하거나 문서를 열었을 때 자동으로 생성되는 바로가기 파일입니다. 사용자가 직접 "..

해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..