[ Chapter 5 ] 윈도우 시스템에서의 증거 수집
Chapter 5의 소 주제로는 삭제된 데이터 찾기, 최대 절전모드 파일, 윈도우 레지스트리, 프린트 스풀링, 휴지통, 메타데이터, 증거로서의 썸네일 사진, 최근 실행 목록, 복원 지점과 쉐도우 복사, 프리패치와 링크 파일이 있다. 포렌식 조사관들은 윈도우 운영체제를 다뤄야 할 확률이 매우 높다. 이런 이유로 조사관들은 윈도우 운영체제와 윈도우의 모든 기능에 대해 자세히 이해하는 것이 중요하다. 포렌식 조사관은 소프트웨어를 사용하면서 발생하는 증거의 흔적을 정확하게 식별, 보전, 수집, 해석할 수 있어야 한다. 5장에서는 이러한 흔적, 목적, 포렌식 관점에서의 중요성에 대해 살펴볼 예정이다. [ 삭제된 데이터 ] : 파일 삭제를 누른다 하더라도 데이터 자체가 삭제되지 않고, 파일은 그 자리에 그대로 남아..
Forensics/Study
2021. 1. 22. 16:33
