Forensics

FAT는 File Allocation Table이라고 하며, 파일이 저장되는 위치를 기록한다. 먼저 크게 3가지로 나눌 수 있는데,Reserved Area : 메타데이터가 저장되어 있다.FAT Area : 파일이 저장되는 위치를 기록한다.Data Area : FAT로부

일반적으로 Windows에서 파일을 삭제하면 휴지통으로 이동하고, 휴지통 비우기를 하거나 Shift+Del 키를 이용해 삭제하면 파일이 완전히 삭제된 것처럼 보인다. 이렇게 완전히 삭제된 것처럼 보이는 파일을 복구하는 법을 알아보자.Windows 사용자 기준에서, 파일

Artifacts란 사용자의 직접적인 개입 없이, 자동으로 생성된 데이터 중 일정한 구조를 띄는 데이터이다. Windows Artifacts 개요 |아티팩트|설명| |---|---| |레지스트리|시스템 설정 데이터| |$LogFile|시스템에서의 파일 데이터 변경 내

계정 정보 /etc/passwd 시스템의 존재하는 사용자의 정보가 있다. 첫 번째 줄 기준으로 :로 구분된 각 내용은 다음과 같다. root(username) - 계정의 이름이다. x(password) - 계정의 비밀번호이다. 원래는 비밀번호도 저장이 되어 있었으나

Volatility3 Volatility는 메모리 포렌식에 사용되는 도구로, 시스템의 메모리 덤프를 분석해 OS 구조를 기준으로 복원한다. 다음은 실행 형식은 다음과 같다. Option 메모리 덤프 파일을 지정하는 -f 옵션만은 기억해두도록 하자. 설정 |Opt