본문 바로가기

윈도우 포렌식

프리/슈퍼패치 파일 윈도우에는 프리/슈퍼패치라는 파일이 존재한다. 이 파일들은 윈도우 속도향상을 위해 존재하며, 포렌식적으로 의미가 많은 파일이기 때문에 상세히 알아보도록 하겠다. [프리패치 파일] 프리패치 파일은 윈도우 속도향상을 위해 윈도우는 특정 어플리케이션이 사용하는 시스템 자원을 파일에 저장해놓고 윈도우 부팅시 프리패치 파일을 모두 메모리에 로드한다. 사용자가 메모리에 로드한 패치파일의 시스템 자원을 사용하는 어플리케이션을 실행 할 경우 미리 로드되어 있는 패치파일을 이용하여 어플리케이션을 실행하기 때문에 속도향상의 결과를 얻을 수 있는 것이다. 해당 파일의 관리는 프리패처(Prefetcher)가 하며, 프리패치 파일의 저장 경로는 아래와 같다. 경로 : %SystemRoot%\Prefetch 프리패치는 윈도우 부.. 더보기
바로가기(LNK) 파일 윈도우에는 다른 OS와 차별화된 '바로가기' 라는 기능의 파일이 존재한다. 다른 OS에는 비슷한 기능으로 심볼릭 링크가 존재한다. 대부분의 사람들이 이 두 기능을 같은 기능으로 보고 있지만, 분명히 다른 기능이다. 윈도우의 바로가기 기능은 OS 차원의 기능이고, 심볼릭 링크는 파일시스템 차원의 기능이어서 그 기능의 동작방식부터가 다르다. 윈도우의 바로가기 기능의 경우 바로가기 파일을 통해 실현 가능한데, 이 파일은 일반 파일과 동일하게 메타데이터와 MFT 엔트리를 가지고 있고 심볼릭 링크의 경우 원본 파일을 가리키고 있는 것은 파일이 아닌 것으로 파일시스템이 인식하기 때문에 이 두기능이 다르다고 할 수 있다. 그럼 윈도우에서 바로가기가 어떤 경우에 생성되는지 알아보자. [바로가기 생성] 1. 윈도우 설치.. 더보기
Registry (11) [MRU(Most Recently Used)] 윈도우는 사용자가 특정 행위를 하였을 때 마지막 행위를 레지스트리에 기록해 두는데 이 목록이 MRU List이다. 이제부터 소개하는 것들이 MRU List에 포함 되는 것들이다. [검색 목록] 윈도우의 검색 목록은 레지스트리에 XP의 경우 검색 종류에 따라 각각 기록되는 서브키가 다르며, Win 7의 경우 통합적으로 기록이 된다. 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5603 --> 모든 파일과 폴더 검색 기록 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5001 --> 로컬 인터넷 검색 키(XP) : HKCU\Software\Microsoft\.. 더보기
Registry (10) [이동형 저장장치 정보] 이동형 저장장치는 USB 썸 드라이브(Thumb Drive)나 외장 하드 드라이브처럼 한곳에 고정되어 있지 않고 편하게 휴대하여 다닐 수 있는 저장장치들을 말한다. 요즘은 이러한 저장장치들의 크기가 커지면서 활용도가 엄청 높아져서 이로인한 보안사고도 빈번하게 일어난다. 회사들의 경우 이동형 저장장치의 반입을 물리적으로 차단하기도 하고 컴퓨터의 USB 포트를 봉인해두기도 한다. 이동형 저장장치가 컴퓨터에 연결되면 Plug & Plug Play Manager가 이벤트 알림신호를 받고 연결된 이동형 저장장치에 장치 정보들을 요청한다. 이 정보를 바탕으로 PnP Manager는 Device Class ID를 부여하고 적절한 드라이버를 찾은 후 해당 드라이버가 현재 로드되어 있지 않으면 .. 더보기
Registry (9) 계속해서 포렌식적으로 의미있는 레지스트리들을 살펴보겠다. [서비스 및 드라이버 목록] 이 정보는 라이브 리스폰스 단계에서 수집되는 정보이며, 레지스트리에서도 수집 할 수 있는 정보이다. 아래 키로 가면 서비스와 드라이버 목록들이 서브키로 나열되어 있다. 드라이버 목록과 서비스를 구별하는 방법은 각 서브키의 Value 중 type이란 Value의 값을 보면 판단 할 수 있다. 키 : HKLM\System\CurrentControlSet\Service [그림 1 - 레지스트리에서의 서비스 및 드라이버 목록] Start Value 값에 따라 자동 시작되는 서비스가 될 수도 있고 안될 수도 있다. * 타입별 자세한 설명은 http://support.microsoft.com/kb/103000 참조하기 바란다. [.. 더보기

티스토리툴바