DF_m@ster

디스크 분석 과정에서 링크 파일의 발견은 중요한 이벤트로 여겨진다. 이는 사용자가 자주 접근한 파일일 가능성이 높으며, 원본 파일의 위치를 파악할 수 있기 때문이다. 링크 파일을 상세 분석하기 위해, 링크 파일의 구조와 링크 파일 분석 도구 사용법을 실습으로 진행했다. 실습을 위해, 100MB 용량의 디스크를 MBR로 초기화한 후, 동일한 크기의 NTFS 파티션을 만들었다. 추가적으로 Root Directory 이하에 'dir_1'과 'dir_2' 폴더를 생성하고, 'dir_1'에 'text.txt'(내용: 'Info'), 'dir_2'에 'test.txt - 바로가기. lnk' 파일을 저장했다. 아래는 Autopsy로 분석을 진행한 결과이다.   'dir_1' 이하에 'test.txt' 파일이 존재하고..

Disk Information증거 분석 할 디스크의 정보는 파일시스템과 파일을 상세 분석 할 때 핵심적인 정보가 된다. 이러한 이유로 디스크 정보를 확인할 줄 알아야 하며, 확인할 수 있는 정보로는 디스크 크기, 디스크 섹터 수, 디스크 클러스터 수, 섹터 크기, 디스크 해시 값(무결성), 파티션 시작 섹터, 파티션 총 섹터, 볼륨 이름, 볼륨 시리얼 넘버 등의 정보가 있다. 또한, 증거 분석 할 디스크가 USB일 경우 USB 이미징 이후에 USB 제조사, 모델명도 확인 가능하다. 테스트를 위해 300MB 크기의 디스크를 MBR로 초기화하고, 150MB 크기의 NTFS 파티션과 150MB 크기의 FAT32 파티션으로 생성하였다. 1. 디스크 정보디스크 정보는 FTK Imager와 Autopsy로 확인할 ..