작은 메모장

윈도우 10 운영체제에서 실습 Forecopy_handy라는 응용 프로그램을 사용 다양한 파일들을 수집할 수 있는 것을 확인 가능 -m 옵션을 사용하여 MFT 파일을 수집 지정된 경로에 파일이 생긴 것을 확인 가능 이런식으로 하나하나 가져올 수 있음 굉장히 수동적인 방법 근데 이게 너무 귀찮다/오타날거 같다/복잡하다 같은 사람들을 위한 자동화 프로그램 또한 존재 Windows Live Response 프로그램은 이를 자동으로 해주는 프로그램 Windows OS 말고 MAC OS, Linux OS에서도 사용 가능 선택지는 크게 두가지인데, 위쪽의 선택지는 결과물을 암호화할 것인지를 물어봄 아래쪽의 선택지는 어떤 모드로 수집할 것인지를 물어봄 트리아지를 고르고 실행하면, cmd가 열리며 자동으로 수집 수집한..

아티팩트? 운영체제 혹은 응용 프로그램이 동작하면서 생성된 흔적 = 사용흔적 생성되는 증거는 운영체제가 만든 "생성 증거", 사용자가 만든 "보관 증거"로 분류 즉, 아티팩트는 생성 증거 안에 있음 왜 필요? => 침해사고의 원인을 규명하고 재발을 방지하려면... 이 아티팩트를 확보해야 함 단, 접근 권한, 정보 공개 제한, 기술적 문제 등... 아티팩트 확보에 어려움이 있음 또, 사용자 랩탑 or PC같은 엔드포인트는 아티팩트 유형이 다양 => 시스템의 영향을 최소화하면서 아티팩트를 확보 => 가급적 노이즈와 수집 누락을 최소화 할 수 있는 도구 사용 윈도우의 대표적인 행위별 아티팩트 - 윈도우 OS에서 발생할 수 있는 사용자 행위들 파일 다운로드, 응용프로그램 실행, 파일 및 폴더 열람, 파일 삭제,..