선릉역 1번 출구

보호되어 있는 글입니다.

보호되어 있는 글입니다.

휘발성 정보의 종류 물리적 메모리(RAM) 시스템 시간 네트워크 연결 정보 프로세스 목록 핸들 DLL 파일 로그온 사용자 열린 파일 프로세스와 포트 맵핑 커맨드 히스토리 서비스 목록 내부 라우팅 테이블 네트워크 인터페이스 클립보드 라이브 포렌식 대상 파티션 정보 OS 정보 시간대 설정 정보 컴퓨터 모든 계정 정보 PC에 로그온 한 최종 사용자 셧다운 시간 네트워크 인터페이스 정보 응용프로그램 실행 로그정보 사용된 웹브라우저 종류 및 접속 웹사이트/검색 키워드 윈도우 탐색기 검색 키워드 네트워크 드라이브 IP 주소 삭제 파일 etc... 물리적 메모리 증거 수집 덤프 도구 사용 크래시 덤프 이용 크래시 덤프란?: 시스템 오류 발생 시 시스템 오류의 원인 등의 내용을 하드 디스크에 기록한 것 하이버네이션(h..

1. MBR 2. VBR 3. FAT area 4. Directory Entry 5. Real Data 1. MBR 저장매체의 첫 번째 섹터에 위치하는 512 바이트 크기의 영역 446(boot code) + 64(partition table) + 2(signature) = 512 byte 운영체제 부팅 과정 POST(power on self test) -> 저장 매체의 첫 번째 섹터 호출(boot code 수행) boot code: 파티션 테이블에서 부팅 가능한 파티션을 찾아 해당 파티션의 부트 섹터를 호출해주는 역할을 함 = MBR에서 부팅 가능한 볼륨을 찾으면 해당 볼륨의 첫 클러스터를 메모리에 로드시킨 후 실행함 *그렇다면 부팅 가능한 파티션은 4개만 가능? -> 다른 영역에 주 파티션 정보를 기..

디지털 데이터의 특성 비가시성 눈으로 확인하기 어려움 변조 가능성 0과 1로 이루어진 데이터는 쉽게 변조 가능 복제 용이성 쉽게 복제 가능 대규모성 데이터가 매우 방대함 휘발성 내, 외부적 영향으로 데이터가 쉽게 사라질 수 있음 초국경성 인터넷 발달로 인해 데이터의 영향 범위가 국경을 초월 포렌식 범죄 사실의 규명을 위해 각종 증거를 과학적으로 분석하는 활동 디지털 포렌식 범죄 사실을 규명하기 위해 컴퓨터 시스템이나 디지털 장비에서 수집할 수 있는 디지털 증거물을 수집, 보존, 식별, 분석, 기록, 보고하는 활동 디지털 포렌식의 원칙 정당성의 원칙 증거가 적법절차를 거쳐 획득되어야 함 - 위법수집증거배제 법칙: 위법절차를 통해 수집된 증거의 증거능력 부정 - 독수독과: 위법하게 수집된 증거에서 얻은 2차..

7. Prefetch 윈도우 XP부터 운영체제에서 제공하는 메모리 관리 정책 실행파일을 메모리로 효율적으로 로딩하기 위해 개발됨 컴퓨터에 장착된 드라이버와 서비스, 폴더 정보, 어플리케이션 정보 등을 미리 읽음 응용프로그램의 이름, 실행 횟수, 마지막 실행 시간, 볼륨 정보 Layout.ini 파일에는 프리패치 파일에 대한 목록이 저장 -> 사용자가 실행한 응용프로그램 이름 확인 -> 응용프로그램 실행 횟수 -> 응용프로그램 마지막 실행 시간 8. ShimCache AppCompatCache라고도 불림 응용 프로그램 간 호환성 제어 및 트러블 슈팅과 문제 해결 악성코드 실행 시 호환성 문제 발생 -> 침해사고 분석에 활용 모든 실행 파일의 경로, 크기, 마지막 수정시간 프리패치와 비슷한 응용프로그램의 실..