SWUFORCE/Dreamhack (6) 썸네일형 리스트형 [드림핵 스터디] 6주차 - 시스템 로그, Track_the_file $LogFile파일시스템의 저널링* 기능을 위해 존재하는 파일저널링의 단위는 트랜잭션(Transaction, 쪼갤 수 없는 업무의 최소 단위)으로, $LogFile은 이 트랜잭션을 기록하는 파일임* 저널링(Jornaling): 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여, 오류가 발생했을 때 복구할 수 있도록 하는 기능 $LogFile 수집 및 분석[root]\$LogFileftk imager 로 $MFT, $LogFile 추출분석 도구는 NTFS Log Tracker 사용 NTFS Log Tracker 에서 직접 결과 조회해도 되지만, DB Browser for SQLite 이용 추천 EventTime: 이벤트가 발생한 시간, 시스템 시간으로 표현됨2026-05-18 16:02.. [드림핵 스터디] 레지스트리, find the USB, Autoruns 레지스트리(Registry)Windows 운영체제에서 사용자, 시스템, 프로그램 실행과 관련된 수많은 설정들을 저장할 수 있는 계층형 데이터베이스*디지털 포렌식 과정에서 기본적으로 수집하는 데이터인 분석 대상 시스템의 기본 정보, 시간 정보를 포함함사용자의 응용프로그램 실행 흔적이나, USB 연결 흔적 또한 파악 가능하여 분석 가치가 큼* 계층형 데이터베이스: 데이터가 트리 형태의 구조로 조직되어 반복적인 부모-자식 관계를 가지는 것 레지스트리 편집기(Regedit) Windows + r 창에서 regedit 입력하여 실행 레지스트리 경로, 레지스트리 값 확인 가능 값 직접 붙여 넣어 경로 찾기컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\C.. [드림핵 스터디] 4주차 - 파일시스템 파티션과 볼륨파티션: 저장 장치 내의 공간을 분리해 독립적인 공간을 만든 것볼륨: 파일시스템을 갖춘 저장 공간, 드라이브라고도 부름 (C 드라이브라고 부르는 것이 바로 볼륨 지칭하는 것) [파티션, 볼륨 실습]- 여분의 저장 공간 필요, USB 사용이 가장 좋지만 가급적이면 운영체제가 설치되어 있지 않은 D, E 드라이브로 실습 진행- 볼륨 포맷 실습은 잘못 진행하면 중요 정보가 모두 삭제되니, 정확히 따라 하고 있는지 중간중간 확인 필요 Windows + s 버튼 누르고 '파티션' 검색해 '하드디스크 파티션 만들기 및 포맷' 실행해 줌 디스크 0은 3개의 파티션으로 나뉘어 있고, 중간 파티션은 NTFS 파일시스템을 가지며, C 드라이브라는 문자가 부여됨디스크 1은 1개의 파티션으로 구성되어.. [드림핵 스터디] 3주차 - 디지털 데이터와 디지털 장치 디지털 데이터* 컴퓨터에서 2 바이트 이상의 데이터 저장할 때 빅 엔디언(Big Endian) 방식과 리틀 엔디언(Little Endian) 방식 중 하나 이용 리틀 엔디언(Little Endian)작은(Smallest) 바이트부터 메모리에 저장하는 방식예를 들어 0x01234567 을 메모리에 저장한다면, 아래 사진과 같이 저장됨 디지털 포렌식 분야에서 리틀 엔디언 표현 방식이 중요한 이유디지털 포렌식 분야에서 주로 다루는 Windows 운영체제는 대부분 Intel 기반의 CPU 아키텍처로 구성되어 있고, Intel 등 상당 수의 CPU 아키텍처는 리틀 엔디언 방식을 따르기 때문에디지털 포렌식 분야에서는 파일 시스템이나 파일 구조를 자주 분석함 이때 리틀 엔디언 표현 방식으로 값을 읽는 경우가 많.. [드림핵 스터디] 2주차 - 디지털 증거 디스크 이미징(Disk Imaging)디지털 저장매체의 복제본인 디스크 이미지(Disk Image)를 생성하는 과정 디지털 저장매체하드디스크(Hard Disk, HDD)나 SSD와 같이 데이터를 저장하는 장치 (C드라이브, D드라이브)0과 1의 반복으로 구성되는 디지털 데이터 존재 디스크 이미지디지털 저장매체에 저장되어 있는 디지털 데이트를 바이트 단위로 복제해서 하나의 파일로 저장한 것원본 디지털 저장매체와 동일한 데이터 가지지만, 그 형태가 하나의 파일 형태로 존재 디스크 이미징 실습FTK Imager 설치→ 이미 필자의 노트북에 설치돼 있으므로 생략 FTK Imager를 이용한 디스크 이미징 → 왼쪽 상단바의 Add Evidence Item 버튼을 누르면 증거물의 타입을 선택할 수 있.. [드림핵 스터디] 1주차 - 소개, 디지털 포렌식 기초 디지털 포렌식의 정의포렌식(Forensic Science, 법과학): 과학적 방법을 이용한 범죄 수사 기법 (ex. DNA 검사, 지문, 족적 검사, 거짓말 탐지기 등)디지털 포렌식(Digital Forensics): 디지털 증거를 수집·보존·분석·현출 하는데 적용되는 과학기술 및 절차, 컴퓨터 과학에 초점 디지털 증거를원본 개념 모호, 데이터의 변조 쉬움, 증거 분석을 위한 전문가의 해석이 요구됨 → 법적 증거로 사용하기 위해선 추가 조치 필요디지털 증거는 '디지털 기기' 로 수집되며, 기기의 다양성이 점차 확대되고 있음 수집·보존·분석·현출하는데디지털 기기로부터 사건 관련 디지털 증거 수집그러한 증거들이 변조되지 않도록 보존증거로부터 유의미한 결과 도출 위해 분석법정에서 사용할 수 있도록 적절한 형태.. 이전 1 다음
