레지스터는 운영체제와 응용프로그램 운영에 필요한 정보를 저장한 계층형 데이터베이스이다. 시스템 정보(systeminfo)오토런(autorun)로그인 시간정보환경변수 설정정보응용프로그램저장, 열기 기능을 사용한 프로그램저장 열기된 프로그램usb 흔적마운트 된 기기들she
NTFS의 구조는 MBR(gpt)-VBR-MFT-file 순으로 되어있다,여기서 MFT는 MFT ENTRY로 이루어져 있다. MFT ENTRY중 하나가 $MFT이다. $MFT는 MFT의 정보를 가지고 있다. 즉 파일들의 정보를 가지고 있다. 참고로 파일 하나당 MFT
$usnjrnl 및 $ logFile 모두 mft entry이다. 둘이 비슷한점은 파일들을 기록한다는 점이다. logfile의 경우 블루스크린 같은 문제점이 발생하였을 때 복구하기 위해서 로그를 기록한다. usnjrnl의 경우 그저 파일의 변화를 기록하기 위해서 존재한
LNK은 바로가기이다. 이러한 바로가기 파일은 윈도우에서 자동으로 만들게 되어있다.(비활성화 가능하다). LNK는 다양한 루트에 만들어진다. 이를 분석하여 파일의 실행으 확인 할 수 있다.Windows XP : C:\\Documents and Settings\\\\De
jumplist -사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일 (미디어 파일은 제외) -윈도우7 이상 존재하는 아티팩트 -응용 프로그램별로 그룹화 예시 위 사진과 같이 최근에 닫은 탭, 자주방문한 페이지등의 정보가 존재한다.
https://drive.google.com/file/d/1QsKLSYXeXw5YkKphm-9HA7dwJ0h9Oiwc/viewhttps://dreamhack.io/wargame/challenges/729
윈도우의 파일시스템은 NTFS입니다. 이러한 NTFS의 MFT에는 다양한 MFT ENTRY가 존재합니다. 이러한 파일은 다양한 정보를 담고있기에 포렌식에 유용합니다. 이를 분석할 경우 $MFT, $LOGFILE, $UsnJrnl 위주로 분석하면 됩니다.레지스터란 Win