N0cT1s41

1. 아티팩트란?윈도우 운영체제에서는 사용자의 활동을 기록하고 관리하기 위해 다양한 아티팩트(Artifacts)를 저장합니다. 이러한 아티팩트는 사용자가 실행한 프로그램, 열어본 파일, 연결한 USB 장치 등의 정보를 포함하며, 디지털 포렌식에서 중요한 증거로 활용됩니다.이번 블로그에서는 윈도우에서 생성되는 다양한 아티팩트와 그 분석 방법을 설명하고, 포렌식적 관점에서 어떻게 활용할 수 있는지를 살펴보겠습니다. 또한, 각 아티팩트를 분석할 수 있는 도구와 사용법도 함께 소개합니다.2. 윈도우 아티팩트 종류 1). LNK 파일 (바로가기 파일) 1. 개요LNK(Link) 파일은 Windows 운영 체제에서 특정 프로그램을 실행하거나 문서를 열었을 때 자동으로 생성되는 바로가기 파일입니다. 사용자가 직접 "..

해당 포스트는 Windows 포렌식에서의 Prefetch, MUICache에 대한 이론적인 부분에 대한 내용입니다.1. Prefetch응용 프로그램의 빠른 실행을 위해서 존재하는 파일응용프로그램을 실행할 때에 생성실행 파일 이름, 경로실행 파일의 실행 횟수실행 파일의 마지막 실행 시간실행 파일의 최초 실행 시간Prefetch 경로%SystemRoot%\PrefetchWinPrefetchView를 이용하여 분석할 것이다.winprefetch를 실행시키면 알아서 컴퓨터에 프리패치들을 불러온다.하지만 이렇게 불러온 프리패치들은 무결성이 훼손될 수 있다는 단점이 있다.그렇기에 프리패치를 하나하나씩 불러오는 것이 무결성 훼손을 방지할 수 있다.프리패치를 클릭해보면 경로, 생성일자, 수정일자, 실행횟수 등의 정보가..