도깬리포렌식스

도깬리 포렌식스 입니다. 이태원 사고 소식에 온나라가 슬픔에 잠겼습니다. 다시는 이와 같은 안타까운 죽음이 없어야 겠습니다. 오늘은 FTK 시리즈 마지막편으로 Superfetch에 대해 설명을 하겠습니다. 모두 힘내세요!!! What is Superfetch 윈도우 비스타 이후 Prefetch는 Superfetch로 진화됩니다. Superfetch를 이용하여 프로그램의 사용흔적을 추적할 수 있습니다. - 마지막으로 구동한 일시 - 구동 횟수 저장위치는 C:\Windows\Prefetch 입니다. 저장포맷은 .PF 입니다. Prefetch는 Cache manager를 이용하여 Boot process와 Application Launches를 모니터링합니다. SuperFetch in the Windows 7 ..

안녕하세요. 도깬리 포렌식스 입니다. 오랜만에 포스팅 합니다. 오늘은 프리페치 3번째 시간입니다. 오늘도 달려 볼까요... 프리페치 해시값 계산 해시는 호스트 시스템이 XP인지, 그 이후 버전인지 여부에 따라 두가지 방법 중 하나를 선택하여 계산합니다. 또한, 해당 어플리케이션이 일반 어플리케이션인지, 호스팅 어플리케이션인지에 따라 서로 다른 계산법이 적용됩니다. 일반 어플리케이션의 경우 어플리케이션의 경로 정보를 기반으로 하여 해시값을 계산합니다. 호스팅 어플리케이션의 경우 예) MMC.EXE, DLLHOST.EXE, RUNDLL32.EXE 호스팅 어플리케이션은 Dynamic Link Library 형태를 갖는 프로세스를 시작하는데 이용됩니다. SVCHOST.EXE의 경우 Dynamic Link Lib..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 프리페치 분석 2번째 시간입니다. 가마솥 같은 여름 입니다, 여러분 모두 힘 내세요. 프리페치 파일 구조 헤더의 구조는 다음과 같습니다. 프리페치 MFT 메모리 참조 영역(Prefetch MFT memory page reference) MFT 메모리 페이지 참조에 대한 분석이 중요한 이유는 다음과 같습니다. 접근한 페이지에 포함된 정확한 MFT 레코드를 알 수가 없기 때문입니다. 파일과 관련된 영역에 포함된 MFT 레코드가 그 이후에 삭제되어서 다른 파일을 위해 사용되었는지를 알 수가 없기 때문입니다. 파일 참조 영역 유니코드로 암호화된 파일 경로에 대한 null-delimited 리스트로 되어 있습니다. 파일이 어플리케이션의 프리페치 파일에 참조되지 않았다고..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 프리페치 파일에 대해 알아보겠습니다. 혐의자의 컴퓨터 사용이력을 분석할 때 필수적으로 참조하는 시스템 파일입니다. 모두 화이팅 하세요. 가상 및 물리적 메모리 32비트 윈도우 시스템에서는 최대 4GB의 가상 메모리를 사용 할 수 있습니다. 가상 주소 영역은 2개의 파티션으로 나뉩니다. - 디폴트 2GB + 시스템 사용 부분인 2GB 64비트 윈도우 시스템에서는 최대 8TB의 가상 메모리 사용할 수 있습니다. 메모리 페이지 (Memory Pages) 가상 메모리는 ‘페이지(Pages)’라는 단위로 쪼개집니다. 32비트, 64비트 윈도우 시스템 모두 페이지의 크기는 4KB 입니다. 프로세스가 사용하는 메모리 용량이 사용가능한 물리적 RAM 용량을 초과할 경우,..