~보안 일기~

Jumplist : 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 종류 • Automatic : 운영체제가 자동으로 남기는 항목 • Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations Prefetch : 응용프로그램의 빠른 실행을 위해서 존재하는 파일 응용프로그램을 실행할 때에 생성 • 실행 파일 이름, 경로 • 실행 파일의 실행 횟수 • 실행 파일의 마지막 실행 시간 • 실행 파일의 최초 실행 시간 점프 목록 Rec..

$MFTMFT(Master File Table)• NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조 • 하나의 파일당 하나의 MFT 엔트리를 가짐 • $MFT란 MFT 엔트리들의 집합MFT 엔트리• 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있음 • 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음$LogFile저널링(Jounaling)• 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용 • 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨 • 문제가 발생하기 전에 “어떤 데이터를, 언제, 어디에 쓰는지” 기록 • 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원 트랜잭션(Transaction) • "쪼..

인프런 강의 3강 윈도우 포렌식 ● 윈도우 아티펙트 - Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 - Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체 - 생성증거: 프로세스, 시스템에서 자동으로 생성한 데이터 - 보관증거: 사람이 기록하여 작성한 데이터 ● 아티펙트 종류 • 레지스트리 • $MFT, $Logfile, $UsnJrnl • LNK • JumpList • Recycle Bin • Prefetch & Cache(s) • Timeline • VSS • 웹브라우저 아티팩트 • EventLogs 이 중 레지스트리를 보자! ● 레지스트리 : 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 있는 계층형 데이터베이스 - 운영체제 및 응..

● 디지털 증거 획득 -증거 획득 방식 저장매체 복사 : 원본 읽기→사본 쓰기 장점 : 신속하고 쉬운 방식, 활성 시스템에서 유용하게 활용 단점 : 활성 시스템의 무결성 훼손, 삭제된 파일이나 은닉 데이터 확인 어려움 저장매체 복제 : 원본의 모든 물리적 섹터→사본 저장매체 장점 : 무결성 유지, 원본의 모든 정보 획득(삭제된 파일 복구 가능) 단점 : 원본보다 크거나 동일한 사본 저장매체가 필요, 복제 전 사본 저장매체의 완전삭제 필요 저장매체 이미징 : 원본의 모든 물리적 섹터→이미지 파일 장점 : 복제와 동일, 쉽게 이미지 복사 가능, 저장매체의 용량 제약 없음 단점 : 이미지 압축 없이 이미징하려면 큰 저장매체 필요 저장매체 이미지 종류 RAW(dd) 이미지 : 원본 저장매체의 비트스트림 이미지,..

부팅과 데이터 저장/전송 부팅 절차 1. 전원 버튼 누름 • 전원공급기는 외부 전압을 낮은 전압으로 안정적으로 변환 공급 • 메인보드의 클록 발생기는 전압이 전달되면 주기적으로 클록 발생 2. ROM BIOS 로드 • 클록은 CPU로 전달 • CPU는 메인보드의 ROM BIOS를 메모리에 로드 후, ROM BIOS 실행 3. POST 작업 전 기본 테스트 • 테스트 결과가 ROM BIOS에 저장된 값과 일치하면 POST 작업 수행 4. POST 단계 • 1단계 : 시스템 버스에 특정 시그널을 보내 이상 유무 확인 • 2단계 : RTC(Real-Time Clock)/NVRAM 테스트 • 3단계 : 비디오 구성 요소 테스트 표준 출력을 통해 부팅 과정 확인 가능 • 4단계 : RAM 테스트 • 5단계 키보드..

#개념 정리 1. 디지털 포렌식이란? 디지털 포렌식 : 컴퓨터 장치가 들어가는 디바이스를 대상으로 포렌식을 하는데 증명된 과학적 기반이 있는 기법들을 이용하여 정보를 수집하고 추출해서 범죄 수사와 관련된 증거수집 및 증거 확증에 이용하는 영역 법 과학 : 과학적 범죄 수사 방법으로 포렌식 수사라고도 함 컴퓨터 범죄 : 여러 디바이스를 이용한 범죄. 디지털 포렌식이 대상임 2. 디지털 포렌식의 필요성 범죄에서 증거를 디지털 포렌식을 이용해서 증거를 획득할 수 있는데 컴퓨터 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 단서를 얻을 수 있음 그리고 범죄 뿐만 아니라 다른 분야에서도 활용도가 높아짐(회계 감사, 내부 정보 유출, 민사 사건 등..) 3. 디지털 포렌식의 유형 급한 정도 목적 인증 침해 사..