[EnCase] 윈도우 사용자 데이터 (User Data) 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 윈도우 사용자 데이터에 대해서 알아 봅시다. 모두 화이팅하세요.

 

Contact 폴더

연락처 폴더입니다.

XML 포맷이므로, Generic XML Browser EnScript 프로그램을 사용해서 해석하거나, 윈도우 환경으로 추출하여 해석합니다.

 

 

Cookies 폴더

위치 : \AppData\Roaming\Microsoft\Windows\Cookies

사용자가 다음에 또 어떤 웹사이트를 방문하는 경우, 동일한 사용자임을 알려주는 역할을 합니다.

사용자 선호도 파악 등의 용도로 사용되기도 합니다.

 

Desktop 폴더

바탕화면에 있는 항목을 저장하는 폴더입니다.

여기에 저장된 것들은 사용자가 의도적으로 추가하였거나, 설치과정에서 어플리케이션이 자동으로 생성한 것입니다.

Public 계정 프로필 안에 존재하는 Desktop 폴더도 조사하는게 좋습니다.

 

Documents 폴더

모든 어플리케이션에서 사용자가 생성한 데이터를 저장하는 기본 폴더입니다.

일종의 1차 저장소 역할을 합니다.

Public 계정 프로필 안에 존재하는 Documents 폴더에는 공유폴더로 이용했을 가능성도 있으므로 조사에 포함시켜야 합니다.

 

Favorites 폴더 (즐겨찾기)

Internet Explorer와 Windows Explorer 에 대한 즐겨찾기 항목을 저장합니다.

자주 방문하는 인터넷 사이트가 주로 저장됩니다.

윈도우 탐색기의 즐겨찾기 항목은 별도의 Links 폴더에 저장됩니다.

 

 

\AppData\Local 폴더 (로컬 세팅 폴더)

Temporary Internet Files (TIF)

인터넷 캐시, 웹메일, 다운로드된 파일 등 자료가 저장됩니다.

 

History

Internet Explorer, Windows Explorer 사용 정보가 저장됩니다.

 

Temp

어플리케이션 설치, 업그레이드 환경설정, 로그 등이 저장될 수 있습니다.

특히 어플리케이션 로그의 경우 텍스트 기반일 가능성이 높으며, 혐의자가 시간 정보를 인위적으로 조작하였을 개연성이 있는 경우, 로그 파일을 살펴보아야 합니다.

 

\AppData\Roaming\Microsoft\Windows\Recent

최근에 접근한 파일, 폴더 및 어플리케이션에 대한 링크가 저장되어 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)