Basic Windows Forensic

라이브 리스폰스 (Live Response)

컴퓨터 포렌식의 초기 조사 단계중 하나다. 라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 한다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속한다.

 

메모리 분석 (Memory Analysis)

윈도우 메모리 분석은 최근 연구가 활발히 이루어지기 시작된 분야로 컴퓨터 포렌식에서도 가장 어렵고 복잡한 분야이기도 하다. 윈도우의 가상 메모리 구조와 가상 주소, 물리 주소 변환 방법, 프로세스 구조를 이해해야 한다. 윈도우 메모리는 구조 자체가 매우 복잡하고 각 버전마다 구조가 다르기 때문에 분석은 보통 어려운 일이 아니다.

 

실행 파일 분석 (Executable File Analysis)

윈도우 실행 파일은 PE(Portable Executable) 파일 포맷이라는 독특한 구조를 가지고 있으며 실행 파일은 악성 프로그램 분석에서 특히 중요한데, 그 구조를 이해하고 분석함으로써 실행 파일의 성격과 특징, 파일이 만들어진 목적을 밝혀낼 수 있다.

 

레지스트리 분석 (Registry Analysis)

윈도우 레지스트리는 윈도우 OS에만 있는 매우 독특한 시스템 파일이다. 레지스트리는 하나의 파일이 아니라 하이브라 불리는 다수의 파일로 구성되어 있으며 레지스트리가 얼마나 복잡한 내부 구조를 가지고 있으며, 얼마나 다양한 정보를 가지고 있는지 파악해야 한다.

 

윈도우 아티팩트 (Windows Artifact)

윈도우 아티팩트란 윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는 데 필요한 요소들(주로 파일이나 레지스트리)로부터 찾을 수 있는 여러 가지 특징적인 정보를 말한다. 예로 바로 가기는 윈도우만이 가지고 있는 독특한 링크 파일인데, 이를 통해 의외로 많은 정보를 얻을 수 있다.