DF_m@ster

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 프로그램 정보, MRU 정보, 네트워크 정보 확인 방법을 정리하여 실습한 글이다.   Program Information1. 설치된 응용프로그램 정보경로: '도구 상자'의 '설치된 응용 프로그램' 항목 선택확인 가능한 정보: 설치된 응용 프로그램 정보(Chrome, Microsoft Edge 확인 가능)   2. 설치된 프로그램 목록 정보경로: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall확인 가능 정보: 응용 프로그램의 SID, 프로그램의 이..

Registry Analysis디스크 분석 과정에서 레지스트리 분석은 다양한 시스템 정보, 사용자 정보, 프로그램 정보, 네트워크 정보들을 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 본글의 내용은 그중 시스템 정보, 사용자 정보 확인 방법을 정리하여 실습한 글이다.   System Information1. 윈도우 설치 정보'도구 상자'의 '윈도우 설치 정보' 항목을 선택하면 윈도우 설치 관련 정보를 확인할 수 있다.확인 가능한 정보: 운영체제 이름(Product Name), 사용자 이름(Owner), 운영체제 식별자 ID(Product ID), 운영체제 세부 버전(Product Version), 조직 이름(Organization), 운영체제 설치 날짜(Install Date), 운영체제 설치 루트..

디스크 분석 과정에서 웹 브라우저 로그 분석은 어떤 사용자가 어떤 브라우저에서 어떤 활동을 했는지 확인할 수 있기 때문에 중요한 과정으로 여겨진다. 웹 브라우저 로그 분석으로 Web Cache, Web Cookie, Download, Web History, Bookmark, Web Search 로그 정보를 확인할 수 있다. Web Cache: 브라우저 실행에 필요한 데이터(HTML, 페이지 이미지 등)의 사본을 의미한다. 자주 접속하는 브라우저의 리소스를 로컬에 저장하여, 서버 부하를 줄이고 지연시간을 감소시키는 목적으로 사용된다. 웹 캐시가 있는 브라우저를 방문하면, 인터넷에서 브라우저 실행에 필요한 데이터를 불러오는 것이 아니라, 로컬의 캐시에서 필요한 데이터를 불러온다.Web Cookie: 브라우저..

디스크 분석 과정에서 USB 연결 분석은 어떤 USB가 어떤 사용자 계정에 연결되었는지 확인할 수 있기 때문에 중요한 분석으로 여겨진다. USB 연결 분석으로 연결했던 USB 이름, USB 시리얼 넘버, USB GUID, USB Device Class ID, USB Unique Instance ID, USB 최초 연결 시간, USB 마지막 연결 시간, USB가 연결되었던 사용자 계정 등의 정보가 확인 가능하다. USB 시리얼 넘버: 제조업체가 USB 장치마다 할당한 고유한 식별자로, 같은 USB 장치를 다른 PC에 연결해도 동일한 값을 갖는다.USB GUID: 이는 장치의 클래스 또는 유형을 나타내는 값으로, 장치 자체에 고유하다. 따라서, 같은 USB의 클래스 또는 유형 장치를 다른 PC에 연결해도 동..

Spool File: 사용자가 프린트 작업을 실행하면, 컴퓨터가 프린트 내용을 프린터로 보내기 전에 임시 저장하는 파일이다. 프린터가 준비되면, 스풀 파일들은 순차적으로 프린터로 전송되어 인쇄 작업이 이루어지고 인쇄가 완료되면 Spool File은 삭제된다. 디스크 분석 과정에서 이러한 Spool File의 존재는 중요한 이벤트로 여겨진다. Spool File의 분석으로 어떤 사용자가 어떤 프린터로 어떤 내용을 출력했는지를 확인할 수 있기 때문이다. Type of Spool FileSpool 방식은 두 가지로 'RAW' 방식과 'EMF' 방식으로 나뉜다. Spool 방식 변경 및 확인 방법으로는 '프린터 및 스캐너'에서 확인하려는 프린터를 선택하고 '프린터 속성'을 선택한다. 이후에 '고급' 항목을 선택..