wintersnowaAa

이전까지 찾아본 흔적들은 디스크의 위치, 컴퓨터 이름, 운영체제 설치날짜, 버전등과 같은 정보들로주로 운영체제 설치 이후의 주된 사용자 (용의자)의 흔적과는 어느정도 거리가 있는 단서들이였다.이번에 책에 나온 내용은 주로 컴퓨터에 접근한 사용자(용의자)와 비교적 가까운 단서들이 나온다.0. 들어가기 앞서 (RID를 통한 사용자 분석)더보기SAM 파일의 경로는 Windows\System32\config 에 위치한다.SAM 파일을 Export해서 Registry Viewer로 확인해보자.일단 이미지 실습을 통해서 알아내고 싶은 사용자의 이름은 gdHong 이다.이에 대한 RID (비교식별값) 을 알아내기위해서는SAM 파일 내의 SAM\Domains\Account\Users\Names\gdHong 에 존재하는..

0. 들어가기 앞서더보기일단 먼저 알아둬야할건 윈도우 운영체제 (Windows 10 기준) 설치시에 파티션이 3개가 필요하다. 2개의 예약 파티션과 1개의 사용자 파티션이다.실제로 어제 가은씨와 서율씨 알려줄 때에도 내가 사용하는 파티션은 3번째에 위치해 있었다.내 컴퓨터에 GPT 디스크와 지금 노트북의 GPT 디스크를 비교해보면어느정도 정해진 패턴으로 예약파티션 - 예약파티션 - 사용자파티션 순으로 3개의 파티션이 이러한 순서로 묶여서 이루어지고 있는듯하다.이게 현재 내 노트북에서 디스크 내용을 나눈 내용이고,이게 FTK Imager로 확인한 내 노트북 디스크 내부 구조이다.내가 만들은 E,F,G는 4GB 용량의 파티션으로 위에 3개의 파티션으로 나오고,앞에 있는 3개의 디스크가 예약파티션-예약파티션-..

해당 책에 관한 제대로된 포스팅 시작이다.일단 이번 포스팅은 윈도우 운영체제의 설치가 이뤄졌을 경우에 남는 흔적에 대한 정보들을 찾아낸다.이번에 공부하면서 레지스트리와 하이브파일, 경로에 관한 정리를 해야겠다.0. 들어가기 앞서더보기앞서 살펴본 사용자명, 운영체제 제품명은 HKLM의 SOFTWARE 하이브 파일에서 찾아낼 수 있었다.HKLM은 시스템 전체에 적용되는 하드웨어와 소프트웨어의 설정 데이터를 저장하는데,이에 대한 경로는 Windows\System32\config 와 같다고 볼 수 있다.실제로 Windows\System32\config 경로에는 HKLM의 하이브 파일인SAM, SECURITY, SYSTEM, SOFTWARE 가 존재한다.이런식으로 하이브 파일들은 특정 드라이브 경로에 존재하게 되..

직접 확인해본 것도 있고, 책의 내용을 적어넣은 것도 있습니다.정확하지 않을 수도 있습니다.오타나 틀린 부분 있으면 자세히 설명해주시면 감사하겠습니다.지속적으로 수정하겠습니다.