도깬리포렌식스

안녕하세요. 도깬리 포렌식스입니다. 오늘은 윈도우 휴지통 2번째 시간입니다. 일요일이지만 함께 힘내 볼까요? 화이팅!!! [Windows Artifacts Parser] --> [Recycle Bin Files] 파일 삭제로 인해 MFT 엔트리에 미치는 영향 $MFT는 1024 바이트의 레코드로 이루어진 일종의 데이터베이스입니다. $MFT Header 삭제 여부를 알려주는 플래그입니다. - 0x0000 --> 삭제된 파일 - 0x0100 --> 할당된 파일 - 0x0200 --> 삭제된 폴더 - 0x0300 --> 할당된 폴더 표준정보 속성 ($STANDARD_INFORMATION_ATTRIBUTE) 포함된 주요 정보는 - 생성일시/수정일시/접근일시/엔트리수정일시를 포함합니다. - Windows 64bi..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 윈도우 휴지통 분석에 대해 이야기 해볼께요. 윈도우 휴지통은 삭제된 파일에 대한 복구 뿐만 아니라, 사용자의 SID를 비롯하여 사용자의 컴퓨터 사용 행위를 분석할 수 있는 다양한 정보를 포함하고 있습니다. 자, 시작해볼까요? $Recycle.bin 휴지통은 폴더가 아니라, 하나의 ‘유틸리티’로 이해하기 바랍니다. 휴지통은 삭제된 파일을 복원하는 기능을 가지고 있으나, 파일을 관리하는 파일시스템과는 관련이 없습니다. 휴지통은 운영체제가 갖고 있는 일종의 ‘사용자 편의 유틸리티’입니다. $I, $R 삭제된 하나의 개체에 대하여 2개의 파일($I, $R)이 휴지통에 생성됩니다. EnCase는 $I의 엔트리의 내용을 읽어서, 그 내용을 Names, File Delec..