Windows 파일 시스템 개요 FAT(File Allocation Table)과 NTFS(New Technology File System) 존재 FAT32 파일 시스템 호환성이 좋아 다른 운영체제에 정보를 옮길 때도 활용 가능 단, 접근 제어 설정을 할 수 없어 다른 파일 시스템에 비해 보안성이 떨어짐 NTFS 파일 시스템 FAT32 파일 시스템과 달리 개별 폴더 및 파일에 사용 권한 설정 가능 암호화를 지원하며 복사 및 이동을 해도 암호화 속성을 잃지 않아 보안성이 높음 감사(Auditing) 기능을 제공하여 파일에 접근한 사용자와 시간 확인 가능 Windows 환경의 메인 파일 시스템 FAT 파일 시스템 연결 할당 방식을 사용함 파일에 속한 데이터를 연결 리스트로 관리하는 방식 파일 테이블에 특정 ..

파일 시스템(File System) 개요 운영체제의 저장장치에 정보가 저장되는 것을 관리하는 시스템 어디에 어떻게 저장할 것인가에 대한 것을 컨트롤 사용자가 직접 파일을 보관하는 대신 파일 관리자가 파일 테이블을 사용하여 관리 파일 관리자와 파일 테이블을 통틀어 파일 시스템이라고 함 파일 관리자: 사용자의 요청을 받아 저장장치의 명령어 전달 파일 테이블: 데이터가 실제 물리 저장장치의 어느 섹터에 저장되어 있는지 트래킹 논리적 저장 단위인 파일(file)로 정보를 추상화하여 실제 저장장치에 맵핑 기본적으로 메타 영역과 데이터 영역으로 구분 메타 영역: 파일 이름, 속성, 크기, 시간 정보 등 파일 생성 시 함께 저장되는 정보 데이터 영역: 파일의 실제 데이터 기능 ① 파일 구성 사용자의 요구에 따라 파일..

메모리 포렌식 x86 주소 공간을 보았을 때 알 수 있는 정보 사용자 영역 어플리케이션 코드, 전역 변수 스레드별 스택 dll 라이브러리 코드 커널 영역 HAL.dll 파일의 하드웨어 추상호 레이어 실제 프로세스들이 관리되고 있는 프로세스 테이블 시스템 캐시 라이브 포렌식(Live Forensics) 활성 상태(live)의 시스템에서 증거 수집 및 분석 전원이 공급된 상태이기 때문에 휘발성(volatile) 데이터도 수집 가능 네임 메모리(DRAM), 레지스터, 캐시, RAM 등 휘발성 매체의 데이터 포함 네트워크 정보, 실행 중인 프로세스, 열려 있는 파일, 커널 상태 등의 정보 수집 메모리 포렌식의 목적 프로세스 행위 탐지 네트워크 연결 정보 사용자 행위 복호화, 언패킹, 디코딩된 데이터(원본 데이터..

디지털 포렌식 개요 포렌식: 증거의 수집·보존·분석을 위한 응용과학 분야 디지털 포렌식: 디지털 환경과 장비를 이용하여 디지털 증거 자료를 수집·분석 메모리(RAM, ROM), 디스크 드라이브(HDD, SSD), 플래시 메모리(USB) 등의 저장 매체를 중심으로 수행 주요 분류 기준: 용도, 물리적 저장방식, 전원 공급에 따른 데이터 유지 여부, 접근 방식 휘발성 메모리: RAM, RAM 기반의 SSD 비휘발성 메모리: ROM, 보조 기억 장치(HDD, SSD) 디지털 증거 수집: Linux 로그 트래킹, Windows 이벤트 뷰어, WireShark를 이용한 네트워크 패킷 분석 등 분석 대상: 네트워크 포렌식, 시스템 포렌식, 데이터베이스 포렌식, 모바일 포렌식 법정 제출을 전제로 함 디지털 포렌식의 ..