중간고사에 파티션 백업본이 존재하는 주소를 묻는 문제가 나왔는데, 정답을 쓰지 못해서 정리 [그림 1] NTFS 파티션 손상 위 [그림 1]과 같이 파티션 헤더의 손상으로 인해 이미져로 파일시스템 내용을 확인 할 수 없는 경우 [그림 2]처럼 WinHex를 이용해 해당 이미지를 불러온다. [그림 2] NTFS 파티션 헤더 백업 NTFS 파일시스템의 경우 파티션 영역의 가장 아래에 백업본이 존재하므로, 해당 내용을 복사 해 손상된 헤더부분에 덮어씌우면 [그림 3]과 같이 복구가 완료된다. [그림 3] 복구 완료 FAT의 경우 NTFS와는 달리 파티션 헤더 백업본이 파티션의 6번째 섹터에 저장된다. 해당 내용을 복사 후 덮어씌우면 복구완료 (FAT12, FAT16은 백업 없음) [그림 4] FAT 파티션 헤..
http://articles.forensicfocus.com/2014/04/14/windows-forensics-and-security/ 간략한 아티팩트 정리. 빠진것도 있음. Digital Forensics and Windows-The Windows ArtifactsSome of the artifacts of Windows 7 operating system include:- Root user Folder- Desktop- Pinned files- Recycle Bin Artifacts- Registry Artifacts- App Data Artifacts- Favorites Artifacts- Send to Artifacts- Swap Files Artifacts- Thumb Cache artifact..
http://www.4ensics.net/home/2014/4/2/r8nqt1isgo3lvaxtbcx7xy8iyqu6uq APRIL 6, 2014ON REPORT WRITING FOR DFIRby Jan Previously I was talking in this space about how the truth should be your main client. About how you have to let go all preconceptions of things you think you know. Today I want to talk a bit about reporting.The report of your digital forensic investigation is the product you are exp..
레지스트리에는 시스템과 애플리케이션 및 사용자의 환경설정 정보 및 각종 프로파일링 정보가 저장되어 있다. 레지스트리 정보는 hive 파일에 담겨있고, 부팅 시 configuration manager가 이 hive 파일을 읽어들여 메모리 상에서 레지스트리를 구성한다. 때문에 레지스트리 분석은 hive 파일을 통해 수행해야 한다. [그림 1] 레지스트리 편집기 레지스트리는 [그림 1]의 레지스트리 편집기를 이용해 확인, 분석, 편집이 가능하며 KEY와 VALUE로 구성되어 있다. 레지스트리 Value는 Value name과 Value Data로 이루어진 구조체이며 Value Type은 Value Data의 타입을 나타낸다. 주로 문자열, 바이너리, DWORD 등이 사용된다. [그림 2] 루트 키 레지스트리는..