도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파티션 구조와 운영체제 정보, 타임존 정보에 대하여 살펴 봅니다. 모두 화이팅 하세요!!! Partitioning Scheme 드라이브 시그너처를 확인하고, 그것이 MountedDevices 키에서 시스템 볼륨을 위해 저장된 것과의 일치 여부를 확인한 다음, Master Partition Table (MPT)을 찾습니다. 파티션 테이블도 Drive Identifier 처럼 조사 대상 드라이브의 논리적 구조를 알게 합니다. MPT는 MBR의 오프셋 446에 위치하고, 파티션 테이블 엔트리 하나 당 64 바이트의 크기를 갖습니다. 각각의 엔트리는 최대 16 bytes로 구성됩니다. Active(Bootable) 파티션 엔트리는 헥사값 ‘80’으로 시작하고, Non..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM의 Documents 분석 기능에 대해 알아 보겠습니다. 모두 화이팅하세요. Documents Artifacts 한글 워드프로세서(hwp)도 지원합니다. Document Content Exporting Documents To A Local Drive Document MetaData 문서의 메타 데이터는 파일을 따라 다니고 파일 시스템과는 상관 없습니다. (Document metadta travels with the file and is independent of the file system.) 따라서 메타 데이터는 문서가 스토리지 디바이스에 처음 기록되었을 때가 아니라, 문서가 생성되었던 때에 관한 더 정확한 정보를 제공할 수 있습니다. (Metada..