디지털 포렌식_08

hajvng 2024. 7. 19. 17:44

2024. 7. 19. 17:44

▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼

[지금 무료] 기초부터 따라하는 디지털포렌식 강의 | 훈지손 - 인프런

훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 '물 흐르듯, 자연스럽게' 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털

www.inflearn.com

Event Logs

응용 프로그램(Application)	- 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트 기록 - 기록할 이벤트 유형은 응용프로그램 개발자가 결정
보안(Security)	- 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인 성공/실패, 보안정책 변경과 같은 보안 이벤트 - 기록할 이벤트유형은 관리자에 의해 변경 가능(이벤트 로그 중 유일하게 사용자가 변경 가능)
설치(Setup)	- 응용프로그램 설치 및 설정과 관련한 이벤트 기록
응용 프로그램 및 서비스 로그	- Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그 - Windows Defender(디펜더), Partiton Diagnostic(USB 연결 흔적), WLAN Autoconfig(WiFi 연결) 등

Windows 검색 기능
- 작업표시줄 아이콘에 있는 그 검색 기능 맞음.
Windows Indexing
- 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행함
- 파일 이름과 전체 파일의 경로를 포함하여 파일의 모든 속성이 인덱싱됨
- 텍스트가 포함된 파일의 경우, 콘텐츠가 인덱싱됨

휴지통.
파일을 삭제하고, 복원하거나 영구 삭제할 수 있음.
휴지통 폴더는 볼륨 단위로 생성
- 로컬 디스크로 인식되는 경우에 생성
- 각각 볼륨에 하나씩 $Recycle Bin 파일이 생김.
- USB 등 이동식 디스크, 네트워크 드라이브 등은 생성되지 않음.
"휴지통" 아이콘
- 모든 볼륨의 휴지통 폴더를 통합하여 보여줌
- 그러나 하나의 폴더로 존재하는 것은 아님.
휴지통 아티팩트(파일 삭제 시)
- 휴지통 폴더 경로: <Volume>\$Recycle.Bin\<SID>\
- 삭제된 파일: $R<임의문자열 6자리>.<원본 파일 확장자>
- 삭제 관련 메타데이터: $I<임의문자열 6자리>.<원본 파일 확장자>
  - 원본 파일의 경로, 휴지통으로 삭제된 시간 등
휴지통 아티팩트(파일 복원시)
- 삭제된 파일($R)은 사라짐
- 삭제 관련 메타데이터($I)는 남아 있음
휴지통 아티팩트(휴지통 비우기)
- 삭제된 파일($R) 및 삭제 관련 메타데이터($I) 모두 사라짐.

Q. Recycle Bin 폴더가 생성되는 단위는?

A. 볼륨

Q. 기록할 이벤트 유형은 응용 프로그램 사용자가 결정한다. (O/X)

A. X (개발자가 결정)

Q. Windows.edb 수집할 때 주의하여야 할 점은?
A. 온라인 상태에서 수집할 때 Wsearch 서비스를 종료시켜야 한다. 그렇지 않으면 "Dirty"상태로 수집된다.

Q. 휴지통 아티팩트에서 파일 복원 시 삭제된 파일은 사라진다.(O/X)

A. O