윈도우 포렌식 썸네일형 리스트형 휴지통 분석 (Recycle Analysis) 윈도우에서 파일을 삭제하는 일반적인 방법은 휴지통에 파일을 버린 후 휴지통 비우기로 삭제하거나, [Shift]+[Delete]를 통해 바로 삭제하는 두 가지 방법이 있다. 윈도우에서는 삭제를 위해 휴지통에 버린 파일들에 대해 복원 기능을 제공하기 때문에 복원을 위해 다양한 정보를 저장하는 정보 파일이 생성되며, 이 파일을 분석함으로써 다양한 정보를 얻을 수 있다.휴지통 폴더 경로는 운영체제 별로 차이가 있으며, 각 파티션 별로 휴지통 폴더가 존재한다. 또한 각 사용자 별로 휴지통 폴더를 관리하기 때문에 휴지통의 이름이 사용자 SID로 생성이 된다.사용자의 SID는 아래의 경로에서 확인이 가능하며, [그림 1]과 같이 사용자 SID로 휴지통이 생성된 것이 확인 가능하다.[그림 1] 사용자 SID로 생성된 .. 더보기 프리패치 분석 (Prefetch Analysis) 윈도우 XP 이후 운영체제에서 제공하는 메모리 관리 정책으로 인해 부팅 또는 응용프로그램을 시작할 때 성능 향상을 위해 구현된 기능이다. 프리패치 파일에 실행 파일이 사용하는 시스템 자원을 미리 저장하였다가 윈도우 부팅 시 프리패치 파일을 모두 메모리에 로드하여 실행 속도를 향상시킨다. 프리패치 파일은 최대 128개 파일을 유지하며, 새로운 응용프로그램이 실행되면 가장 오래 사용하지 않은 응용프로그램의 프리패치 파일을 삭제하여 새로운 응용프로그램의 프리패치 파일 생성하며, 부팅시 120초, 응용프로그램 시작 시 10초간 모니터링한 응용프로그램 정보로 파일을 생성한다. 프리패치 파일은 %SystemRoot%\Prefetch 경로에 생성되며, 생성되는 파일명은 [실행 파일명]-[파일 경로에 대한 해쉬].pf.. 더보기 이전 1 다음
