Gflow

Windows Artifact[3] - LNK

Digital Forensic/Windows-Forensic Gflow 2018. 4. 5. 09:46

(본 포스팅에서는 기본적인 도구 사용법에서는 다루지 않습니다) 이번 포스팅에서는 LNK파일 분석에 대해서 알보겠습니다.---------------------------------------------------------------------------------------------------------------------------------------- 1. LNK 파일Windows Shortcut Files (MS-ShellLink) 는 윈도우 시스템에서 사용하는 파일에 대한 링크 파일입니다. 특정 실행파일을 간편하게 실행하기 위해 사용자 지정 위치에 링크되며, LNK 확장자를 가집니다.LNK 파일은 사용자가 직접 생성하는 것 이외에도, Windows OS 설치 시 기본적으로 특정 경로에 바탕화..

Windows Artifact[2] - MFT,Logfile

Digital Forensic/Windows-Forensic Gflow 2018. 3. 30. 13:39

이번 포스팅에서는 $MFT와 $Logfile을 분석하는 방법에 대해서 알아보겠습니다. ----------------------------------------------------------------------------------------------------------------------------------------1.$MFT, $Logfile 추출하기 $MFT와 $Logfile은 FTK Imager를 통해 최상위 디렉토리에서 추출 가능합니다. 아래 [그림 1]번과 같이 [root]에서 $MFT와 $Logfile을 확인 할 수 있습니다. 해당 파일을 클릭하고 마우스 우클릭을 통해 추출 가능합니다. [그림 1] 최상위 디렉토리 확인 마우스 우클릭을 하면 [그림 2]와 같이 [Export Fil..

Windows Artifact[1] - $MFT(4)

Digital Forensic/Windows-Forensic Gflow 2018. 3. 16. 09:55

이번 포스팅에서는 $MFT의 속성중 하나인 DATA속성에 대해서 알아보겠습니다. ----------------------------------------------------------------------------------------------------------------------------------------3. $DATA($80) $DATA 속성은 파일의 데이터를 담고 있습니다. 속성 헤더(속성타입~초기화된 크기) 이후에 바로 해당 파일의 데이터가 저장되는 구조로 되어있습니다. [그림 1] $DATA($80) [그림 2] $DATA($80) $DATA속성을 분석하기전에 알아두어야 할 개념이 있는데 그것은 바로 레지던지 속성과 논 레지던트 속성입니다. 레지던트 속성은 이 $DATA속성에 파..

Windows Artifact[4] - Recycle

Digital Forensic/Windows-Forensic Gflow 2018. 3. 13. 14:38

이번 포스팅에서는 휴지통분석에 대해서 알아보겠습니다. --------------------------------------------------------------------------------------------------------------------------------------1. Recycle파일을 삭제할 때 Shift키를 같이 누르지 않은 경우 기본적으로 파일은 휴지통으로 이동하게 됩니다. 때문에 간혹 지우고 나서 휴지통을 비우지 않아 중요한 단서들이 남아 있을 수 있으므로 포렌식 분석 과정에 있어 휴지통 분석은 꼭 필요합니다. 휴지통은 각 사용자 별로 폴더 구조를 가지게 됩니다. ■ C:\Recycle.Bin\[User SID] [그림 1] 사용자별 휴지통 구조 파일이 삭제 되면 휴..

Windows Artifact[1] - $MFT(3)

Digital Forensic/Windows-Forensic Gflow 2018. 3. 12. 17:50

이번 포스팅에서는 $MFT의 속성중 하나인 FILE_NAME에 대해서 알아보겠습니다. ---------------------------------------------------------------------------------------------------------------------------------------- 2. $FILE_NAME($30) $FILE_NAME 속성은 파일이나 디렉터리의 이름을 담는 속성으로 이 속성을 이용하여 파일 또는 디렉터리의 이름을 알 수 있습니다.UTF-16으로 인코딩 저장되며 일반적으로 $STANDARD_INFORMATION 속성 바로 뒤에 오게 되며, 해당 파일이나 디렉터리가 다수의 MFT Entry를 사용하는 경우 $ATTRIBUTE_LIST라는 속성이..

Windows Artifact[1] - $MFT(2)

Digital Forensic/Windows-Forensic Gflow 2018. 3. 8. 14:56

이번 포스팅에서는 $MFT의 속성중 하나인 STANDARD_INFORMATION에 대해서 알아보겠습니다.---------------------------------------------------------------------------------------------------------------------------------------- 1. $STANDARD_INFORMATION($10) $STANDARD_INFORMATION 속성은 모든 파일과 디렉터리에 존재하는 속성으로 이 속성은 파일 생성시간과 날짜, 파일의 소유자, 보안, 할당량에 관한 정보를 담고 있습니다. 이 속성은 크기가 변하지 않고 언제나 고정되어 있으므로 항상 Resident 형태를 유지하고 있고, NTFS를 구성하는 필수적인..

Windows Artifact[1] - $MFT(1)

Digital Forensic/Windows-Forensic Gflow 2018. 3. 5. 09:59

이번 포스팅에서는 윈도우 시스템에 가장 기본으로 남는 Artifact인 $MFT에 대해서 한번 알아 보도록 하겠습니다. $MFT에 대한 내용은 알고 넘어가야 하는 내용들이 많으므로 여러번에 나눠 포스팅을 하도록 하겠습니다.---------------------------------------------------------------------------------------------------------------------------------------- 1. $MFT윈도우 사용자라면 기본적으로 사용이 되는 NTFS 파일 시스템을 사용함에있어 파일에 대한 메타데이터(파일 정보, 위치 등) 을 담고 있는 파일이 $MFT입니다. 포렌식을 수행함에 있어 $MFT를 분석하면 파일에 대한 많은 정보를 수집..

Copyright © Gflow All Rights Reserved

티스토리툴바