안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우의 시스템 파일과 폴더에 대해 알아 봅시다.
시스템 파일 및 폴더
pagefile.sys 스왑파일
일명 ‘페이지 파일’ 이라고 합니다.
부트볼륨의 최상위 레벨에 위치합니다.
가상 메모리로 사용됩니다.
비할당 영역에 대한 검색시 함께 포함됩니다.
Program Files 폴더
32비트 시스템에서 32비트 어플리케이션은 여기서 설치됩니다.
64비트 시스템에서 64비트 어플리케이션은 여기서 설치됩니다.
Program Files (x86) 폴더
64비트 시스템에서 32비트 어플리케이션은 여기서 설치됩니다.
ProgramData 폴더
모든 사용자들이 접근할 수 있는 일반 폴더입니다.
Windows XP에서는 \All Users 가 같은 역할을 합니다.
휴지통 폴더
$Recycle.Bin 폴더입니다.
볼륨의 최상위 레벨에 존재합니다.
사용자마다 각자의 SID로 휴지통을 식별합니다.
Thumbcache
Windows Vista, 7 이후에서 폴더의 내용을 한번이라도 아이콘 뷰로 보게 되면 자동으로 생성됩니다.
생성위치는 \AppData\Local\Microsoft\Windows\Explorer\ 입니다.
파일명을 8바이트 해시값으로 표현되고, 이것은 소스파일에 대한 경로를 의미하나, 해시값으로 되어 있어 인식 불가능합니다.
Windows XP에서는 사진 파일이 존재하는 폴더마다 thumb.db가 생성됩니다.(미리보기를 한 경우에만 생성됨)
thumb.db는 Last Written Time이 존재하는 반면, Thumbcache에는 존재하지 않습니다.
Thumbcache Parser
썸캐시 ID, 썸캐시 파일내의 오프셋값, 논리적 크기 및 이미지 포맷 형식을 보여 줍니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 컨디션 (Condition) 기능 (0) | 2022.04.23 |
|---|---|
| [EnCase] 윈도우 바로가기 파일(Windows Shortcuts) 또는 링크 파일(Link Files) 분석 (0) | 2022.04.21 |
| [EnCase] 윈도우 사용자 데이터 (User Data) 분석 (3) (0) | 2022.04.14 |
| [EnCase] 윈도우 사용자 데이터 (User Data) 분석 (2) (0) | 2022.04.10 |
| [EnCase] 윈도우 사용자 데이터 (User Data) 분석 (1) (0) | 2022.04.08 |