분류 전체보기

[Upload] TRIM

TRIM에 대한 글이 업로드 되었습니다. TRIM 기능은 SSD에서 주기적으로 삭제될 예정인 데이터를 처리하는 것으로 디지털 포렌식 관점에서 파일을 복원/카빙할 때 원본 수집 대상이 SSD인 경우 필수적으로 참고해야 하는 기능입니다. SSD의 TRIM 기능만을 살펴본 것이 아닌, 비활성화 되어 있는 경우 활성화 하는 방법과 RAID를 사용하거나 Windows 7 이전 운영체제를 사용하는 경우 TRIM 기능을 사용할 수 없다는 내용까지 알아보았습니다. https://www.forensic-cheatsheet.com/etc/trim 읽어보시고 궁금한 내용이나 수정해야하는 내용은 커뮤니티를 이용해 주시면 감사하겠습니다 https://discord.gg/CDtc5kWWA8

[Upload] MFT Attribute (2)

Filesystem 게시판의 MFT Attribute(2)에 대한 글이 업로드 되었습니다. MFT Attribute(2)에서는 이전 장에서 다루지 못했던 각각의 속성에 대해서 다루어 보았으며 소개한 속성들을 이해함을 통해 NTFS 파일시스템에서의 파일 저장에 대한 내용을 이해할 수 있었습니다. https://www.forensic-cheatsheet.com/filesystem/mft-attribute-2 읽어보시고 궁금한 내용이나 수정해야하는 내용은 커뮤니티를 이용해 주시면 감사하겠습니다 https://discord.gg/CDtc5kWWA8

[Upload] Alternative Data Stream(ADS)

artifacts 게시판에 Alternative Data Stream(ADS)에 대한 글이 업로드 되었습니다. ADS는 MFT Entry 내의 속성 중 $DATA 속성이 여러개 있는 파일에 대한 내용입니다. 데이터 은닉과 악성코드 삽입 등 여러 방면에서 사용될 수 있으며 특정 파일에 대해서는 파일의 유입 경로까지 파악할 수 있습니다. https://www.forensic-cheatsheet.com/artifacts/ads 읽어보시고 궁금한 내용이나 수정해야하는 내용은 커뮤니티를 이용해 주시면 감사하겠습니다 https://discord.gg/CDtc5kWWA8

[Upload] MFT Attribute (1)

Filesystem 게시판의 MFT Attribute에 대한 글이 업로드 되었습니다. NTFS 파일시스템에서 파일을 저장하는 방식을 이해하기 위해선 MFT의 Attribute에 대한 온전한 이해가 필요합니다. 이번 게시글에서는 어떤 종류의 데이터가 저장되는지와 더불어 어떤 방식으로 시스템이 파일시스템의 공간을 활용하여 데이터를 저장하는지 알아보았습니다. https://www.forensic-cheatsheet.com/filesystem/mft-attribute-1 읽어보시고 궁금한 내용이나 수정해야하는 내용은 커뮤니티를 이용해 주시면 감사하겠습니다 https://discord.gg/CDtc5kWWA8

[Upload] iconcache/thumbcache 아티팩트

Artifacts 게시판의 iconcache/thumbcache가 업로드 되었습니다. IconCache와 ThumbCache는 주로 파일 실행/ 미디어 열람에 대한 흔적을 확인해볼 수 있는 아티팩트입니다. 직접적으로 아티팩트 안에 실행된 흔적을 찾아보는것은 아니고, 실행에 따라 이미지가 캐시되는데 이를 간접적인 요소로 하여 사용하게 됩니다. 시스템에서 활용하는 영역이기때문에 삭제가 쉽지 않아 안티 포렌식이 적용된 분석 대상에 있어 요긴하게 활용될 수 있는 아티팩트입니다. 이번 글에서는 언제 iconcache와 thumbcache의 차이점을 알아보며, 내부적으로는 어떤 데이터가 포함되어 있는지 알아보았습니다. https://www.forensic-cheatsheet.com/artifacts/caches 읽..

[Upload] Jumplist

Jumplist 에 대한 글이 업로드 되었습니다. Jumplist 역시 다른 아티팩트와 마찬가지로 사용자 행위와 파일 실행에 대한 흔적을 찾아볼 수 있는 아티팩트입니다. 관련하여 구조체가 아직 많이 분석되어 있지 않은 실정이지만, 특정 파일에 대한 실행 여부를 확인한 것만으로도 큰 의미를 가지는 아티팩트라고 생각됩니다. 이번 글에서는 언제 Jumplist 파일이 생성되며, 내부적으로는 어떤 데이터가 포함되어 있는지 알아보았습니다. https://www.forensic-cheatsheet.com/artifacts/jumplist 읽어보시고 궁금한 내용이나 수정해야하는 내용은 커뮤니티를 통해 문의해 주시길 바랍니다 :) https://discord.gg/CDtc5kWWA8

[Upload] Shellbag 아티팩트

Shellbag 아티팩트에 대한 글이 업로드 되었습니다. 사용자가 특정 디렉토리에 접근한 흔적을 남기는 아티팩트로 주로 알려져 있으며 이외에도 다양한 정보를 담고 있습니다. 이번 글에서는 어떤 상황에서 Shellbag 아티팩트가 생성되는지와, 경로와 수정/생성일자와 같은 주요 데이터가 어떤 형태로 저장되는지를 주로 다루어 보았습니다. https://www.forensic-cheatsheet.com/artifacts/shellbag 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.

[Upload] Recycle Bin 아티팩트

Recycle Bin 아티팩트에 대한 글이 업로드 되었습니다. 휴지통에 있는 파일들을 분석하는 방법에 대해 자세히 알아본 글입니다. 휴지통에서 파일을 복구하는 데 도움이 될 것으로 예상됩니다. https://www.forensic-cheatsheet.com/artifacts/recyclebin 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.

[Upload] SRUM 아티팩트

SRUM 에 대한 글이 업로드 되었습니다. 시스템 자원 사용량을 다루는 아티팩트로 파일 실행 흔적을 찾는데 사용되는 아티팩트입니다. 흔하게들 비휘발성 데이터라고 생각하고 있지만, 실제로 SRUM 데이터는 휘발성 데이터라는 점이 인상깊게 봐야할 포인트입니다. https://www.forensic-cheatsheet.com/artifacts/srum 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.

[Upload] LNK File 아티팩트

LNK 파일 아티팩트에 대한 글이 업로드 되었습니다. LNK 파일은 윈도우 시스템에서 파일의 실행 정보를 파악할 수 있는 주요 아티팩트입니다. 주로 LNK 파일의 구조와 어떤 데이터가 들어있는지 알아보았습니다. https://www.forensic-cheatsheet.com/artifacts/lnkfile 읽어보시고 궁금한 내용이나 수정해야하는 내용은 본 게시글에 공개댓글로 남겨주시면 감사하겠습니다.