A. 시스템과 사용자 설정 정보 키워드: 레지스트리 (Registry) Windows OS의 설정 DB로, USB 연결 기록, 프로그램 설치 흔적, 사용자 활동 기록 등을 담고 있음.

A. FF D8 FF 키워드: 파일 시그니처 (Magic Number) 파일의 확장자와 상관없이 파일 형식을 판별할 수 있는 고유한 앞부분 값, 포렌식 도구에서 복구 및 분류에 사용.

A. 촬영 시간, GPS 정보, 카메라 모델 키워드: EXIF 메타데이터 사진 파일 내 숨겨진 정보로, 조작 여부 판단, 위치 추적 등 디지털 증거로 활용 가능.

A. 레지스트리 Run 키 키워드: 자동 실행 위치 (Run Key) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 같은 키에서 악성코드의 자동 실행 흔적을 탐지할 수 있음.

A. 타임라인 분석 키워드: 타임라인 분석 (Timeline Analysis) 다양한 타임스탬프(MAC 시간 등)를 비교해 이상 징후나 조작된 시간 흐름을 식별함.

A. SYSTEM\CurrentControlSet\Enum\USBSTOR 키워드: USB 연결 흔적 해당 레지스트리 경로를 통해 연결된 저장장치의 VID, PID, 시간 정보 등을 확보 가능.

A. E5h 키워드: 삭제 파일 식별 (E5h) FAT 시스템에서는 삭제된 파일의 파일 이름 첫 글자만 E5로 변경되며, 실제 데이터는 덮어쓰기 전까지 유지될 수 있음.

> 레지스트리는 "폴더처럼 보이는 설정 데이터 저장소" 실제 폴더는 아니고, 키와 값으로 이루어진 구조화된 설정 데이터베이스야.

범죄 시간 추적: "삭제는 언제 했나?" "침입 후 어떤 파일을 열었나?"를 확인할 수 있어. 위조 탐지: 조작된 파일은 타임스탬프가 불연속적이거나 비정상적일 수 있어. 타임라인 분석: 여러 이벤트를 시간 순서대로 재구성해서 사건 흐름을 파악할 수 있어.

**타임스탬프(Timestamp)**는 디지털 포렌식에서 파일이나 이벤트가 언제 발생했는지를 나타내는 시간 정보야. 쉽게 말하면 **"언제 무슨 일이 있었는지 기록한 시계"**라고 보면 돼.

좋은 질문이야! **EXIF 메타데이터(Exchangeable Image File Format)**는 디지털 사진이나 이미지 파일 안에 자동으로 저장되는 부가 정보야. 쉽게 말하면, > "사진 속에 숨겨진 데이터"라고 보면 돼. --- 1. EXIF 메타데이터란? 디지털 카메라, 스마트폰 등으로 사진을 찍을 때, 촬영 환경, 시간, 장비 정보, 설정값 등이 이미지 파일 내부에 자동 저장됨. JPEG, TIFF, HEIC 같은 이미지 포맷에 많이 쓰임. --- 2. EXIF 메타데이터에 담긴 주요 정보 --- 3. 포렌식에서 EXIF 메타데이터의 활용 사진의 진짜 촬영 시간 확인 (SNS 업로드 시간과 다를 수 있음) 위치 추적 (GPS) → 범죄 현장 촬영 여부 파악 카메라 정보 분석 → 같은 장비로 찍은 사진 식별 가능 포토샵 등 편집 여부 추정 → EXIF가 삭제되거나 수정된 흔적 있음 --- 4. EXIF 메타데이터는 조작 가능할까? 가능해. exiftool, Photoshop, 일부 앱 등을 이용하면 삭제하거나 바꾸는 것도 가능함. 그래서 포렌식에서는 조작 여부까지 함께 분석해야 해. --- 요약 정리 > EXIF 메타데이터 = 사진에 자동으로 담기는 촬영 정보 시간, 위치, 카메라 정보 등 증거로 매우 중요한 데이터이며, 포렌식 분석 시 진실된 시간과 장소를 추적하는 단서로 사용돼. --- 원하면 실제 EXIF 메타데이터 확인 예시나, 분석 도구(exiftool 사용법 등)도 알려줄게!

A. Recent Files (shellbags) 키워드: Shellbags (셸백) 사용자가 열어본 폴더/문서 목록을 기록. 사용자가 삭제해도 흔적이 남아 포렌식에서 중요.

A. 접근 권한 및 계정 인증 정보 키워드: 클라우드 포렌식 Google Drive, Dropbox 등에서 로그, 파일, 위치 기록을 확보해야 하며, 계정 접근 권한이 핵심.

A. C:\Users\사용자\AppData\Local\Temp 키워드: 임시파일 (Temporary Files) 프로그램 실행 중 생성되며, 사용 흔적이나 캐시 데이터가 저장돼 포렌식에서 단서로 활용됨.

A. 시간 동기화 서비스 (Windows Time Service) 키워드: NTP, 시간 동기화 정확한 타임스탬프 유지에 필수. 시간 조작 여부를 분석할 때 NTP 기록을 비교함.

A. 파일 카빙 (File Carving) 키워드: 파일 카빙 파일 시스템 정보 없이 시그니처 기반으로 파일을 추출하는 기법. JPEG, PNG, ZIP 복구 등에 자주 사용됨.

A. DeviceInstallDate 키워드: DeviceInstallDate USB 저장장치가 최초 연결된 시각이 저장되며, 범죄 도구의 연결 시점을 밝히는 단서로 사용됨

A. USBSTOR 키워드: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR USB 장치의 VID, PID, 장치명, 연결 시간 등이 저장됨 사용자 활동과 장치 사용 흔적을 추적할 수 있음

A. ESE Database 키워드: ESE DB (Extensible Storage Engine) MS에서 만든 고속 구조의 데이터베이스 포맷 WebCache뿐만 아니라 Windows Search, Windows.edb 등에서도 사용됨.

A. E5h 키워드: FAT 삭제 파일 구조 삭제되면 첫 문자가 E5h로 변경됨 데이터는 덮어쓰기 전까지 그대로 존재할 수 있어

정답: ① 시퀀스 번호 키워드 설명: 시퀀스 번호(Sequence Number): TCP 세그먼트의 순서를 지정하고, 재조립을 위한 기준값.

TCP는 데이터가 빠르진 않아도, 반드시 정확하게 순서대로 도착하게 해주는 ‘신뢰성 우선’ 통신 방식이야. 필요하면 UDP와의 차이점도 설명해줄게!

TCP는 신뢰성 있는 통신을 위해 3단계 연결 설정 과정을 거쳐. 단계별 설명: 1. SYN (Client → Server) 클라이언트가 서버에게 "나 연결할게요!" 라고 신호 보냄. 2. SYN-ACK (Server → Client) 서버가 클라이언트에게 "좋아요, 나도 준비됐어요!" 응답함. 3. ACK (Client → Server) 클라이언트가 "응답 잘 받았어요, 시작하죠!" 라고 다시 응답함.

TCP/IP는 인터넷에서 사용하는 기본 통신 규약(프로토콜)의 집합이야. 정확한 이름은 Transmission Control Protocol / Internet Protocol **‘인터넷이 돌아가는 규칙 세트’**라고 보면 돼. --- 구성 요약: TCP/IP는 여러 계층으로 이루어진 구조야. 대표적인 4계층은 다음과 같아: --- 왜 'TCP/IP'라고 불러? TCP와 IP는 이 구조에서 가장 핵심적인 역할을 하는 두 프로토콜이기 때문이야. TCP: 데이터가 정확히 전달되도록 함 IP: 데이터가 어디로 가야 할지 주소를 지정함 --- 비유로 이해하자면: > 편지를 보낼 때, IP는 수신자의 주소 (어디로 갈지) TCP는 봉투 안의 내용이 순서대로, 완전하게 도착하도록 도와주는 기능이야. --- 필요하면 OSI 7계층과 TCP/IP 4계층 비교도 정리해줄게!

"HTTP는 웹, FTP는 파일, SMTP는 메일 보내고 POP3/IMAP은 메일 받는다. DNS는 주소 찾기."

프로토콜은 운영체제(Operating System)에 설치되거나 포함되는 거야. 우리가 사용하는 네트워크 통신은 **운영체제의 네트워크 계층(Network Stack)**이 실행 주체이기 때문에, 프로토콜도 운영체제 안에 설치되거나 내장되어 있어야 작동해. --- 정리: 프로토콜은 운영체제에 설치된다 --- 예시로 설명: 1. Windows TCP/IP는 기본 설치돼 있고, 제어판 → 네트워크 설정에서 활성화/비활성화 가능. VPN 프로토콜(L2TP/IPSec 등)은 설치하면 드라이버 형식으로 등록됨.

[응용 프로그램] ↓ [프로토콜 (HTTP, TCP/IP 등)] ↓ [운영체제 네트워크 계층] ↓ [네트워크 드라이버 (랜카드용)] ↓ [물리 네트워크 (케이블, 무선 등)] 프로토콜은 데이터를 어떤 방식으로 주고받을지 규칙을 정함 드라이버는 컴퓨터가 실제 하드웨어(랜카드 등)를 제어할 수 있게 해줌 운영체제는 이 둘을 중간에서 통합 실행시킴

아주 좋은 질문이야! 해시값은 "이미징 전과 후" 모두 계산해두는 것이 원칙이야. 디지털포렌식에서 해시값은 무결성(integrity) 보장을 위해 필수니까! --- 해시값 계산 시점 요약 단계 해시 계산 목적 1. 이미징 전 (원본 디스크) 예 원본의 무결성 확보 2. 이미징 후 (이미지 파일) 예 이미지의 무결성 확인 및 원본과 일치 여부 검증 --- 왜 두 번 해시를 계산하나? 이미징 전 해시: 원본 증거가 수집 당시 변경되지 않았음을 기록. 이미징 후 해시: 복제본(이미지)이 원본과 동일함을 검증. > 두 해시값(MD5 또는 SHA-1 등)이 일치하면 → 증거 복제 과정에서 변조되지 않았음을 증명할 수 있어. --- 필요하다면 해시 계산 명령어나 실제 툴 사용 예시도 보여줄 수 있어!

A: Volatility [키워드 설명] Volatility: 메모리 덤프 분석 도구로, 프로세스, 네트워크, DLL, 레지스트리 등 다양한 아티팩트 추출 가능.

Volatility는 디지털포렌식에서 메모리(램) 덤프를 분석할 때 주로 사용되는 도구야. 즉, "휘발성 정보 분석"이 필요할 때 사용해. --- Volatility 사용 시점 요약 사용 시점 설명 1. 시스템 감염 의심 시 악성코드가 메모리에 상주하는 경우, 프로세스/모듈 분석 가능 2. 실시간 흔적이 필요한 경우 네트워크 연결, 로그인 세션, DLL, 명령어 실행 흔적 등 3. 시스템이 강제 종료되기 전 메모리 수집 후 분석 대상이 전원 종료되기 전에 메모리 수집 → 분석 4. 휘발성 정보가 디스크에 저장되지 않는 경우 예: 암호화 키, 비밀번호, 잠깐 실행된 악성 프로세스 등 --- Volatility로 분석 가능한 정보 예시 실행 중인 프로세스 리스트 (pslist) 네트워크 연결 정보 (netscan) 로딩된 DLL 모듈 (dlllist) 레지스트리 키 내용 (printkey) 최근 실행된 명령어 히스토리 루트킷 탐지 (malfind, ldrmodules 등) --- 정리 Volatility는 > "디스크가 아니라 메모리 속에 있는 단서를 분석해야 할 때 사용하는 포렌식 도구"라고 기억하면 정확해. 필요하면 실전 분석 예제도 보여줄게!

A: RSA [키워드 설명] RSA: 공개키 암호 방식 중 하나로, 인증서, 서명, 키 교환 등에 활용. 디지털 증거의 무결성 검증에도 사용됨.

정답: D 키워드: NTFS, MFT 비트맵 → 파일 삭제 시 실제 데이터는 유지되고, MFT 비트맵에서 해당 엔트리가 사용 가능 상태로 표시됨. 복구 가능성이 있는 이유.

정답: B 키워드: Wireshark 필터 → http는 고수준 필터로, HTTP 프로토콜을 포함한 패킷만 표시. tcp.port==80은 포트 기반, 더 넓은 범위 포함.

정답: B 키워드: History Provider Cache → Chrome 등 최신 브라우저에서 URL뿐 아니라 사용자의 검색 패턴까지 기록됨. 사용 흔적 분석에 중요.

정답: C 키워드: E01 파일 → EnCase 고유 포맷. 메타데이터와 해시값 자동 저장되어 법적 증거로 활용 가능.

정답: B 키워드: Volatility → 오픈소스 메모리 분석 도구로 Windows, Linux, macOS 메모리 포렌식 지원.

o

A: ① RunMRU 키워드 설명: **RunMRU (Most Recently Used)**는 사용자가 실행 창 (Win + R)에서 실행한 명령어 목록이 저장되는 레지스트리 키로, 프로그램 실행 흔적을 추적하는 데 유용함.

A: ③ 윈도우 캐시 및 브라우저 데이터 저장 키워드 설명: **ESE DB (Extensible Storage Engine Database)**는 WebcacheV01.dat, Windows.edb 같은 파일 포맷으로, 인터넷 기록, 캐시, 쿠키 등을 저장하는 데 쓰임.

A: ③ 암호 해독 키워드 설명: 디지털 서명은 데이터가 변경되지 않았음을 보장하고, 작성자의 신원을 확인하며, 송신자가 나중에 부인하지 못하도록 하는 부인방지 기능을 가짐. 암호 해독은 해당 기능이 아님.

A: ③ last 키워드 설명: last는 리눅스 시스템에서 최근 로그인 기록을 확인할 수 있는 명령어로, 사용자의 로그인, 로그아웃 시간 등을 추적할 수 있음.

A: ③ 원본 보존 키워드 설명: **이미징(Imaging)**은 저장장치 전체를 비트 단위로 복제하는 작업이며, 무엇보다 원본의 무결성과 보존이 가장 중요함.

A: ③ 메모리에서만 증거가 있는 경우 키워드 설명: Live Forensics는 시스템이 켜진 상태에서 **휘발성 메모리(RAM)**나 네트워크 상태 등을 수집하는 포렌식 기법으로, 메모리 기반 증거가 있을 때 필수임.

A: ② HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR 키워드 설명: USBSTOR 레지스트리 키는 시스템에 연결된 USB 저장장치의 식별 정보를 저장하므로, USB 흔적 추적에 활용됨.

A: ③ 데이터를 숨겨 저장하는 기술 키워드 설명: 스테가노그래피는 텍스트, 이미지, 오디오 등에 데이터를 숨겨 저장하는 기술로, 암호화와는 다르며, 주로 숨김에 초점을 둠.

A: ③ 메타데이터만 지워지고 실제 데이터는 덮어쓰기 전까지 남아 있기 때문에 키워드 설명: NTFS에서는 삭제 시 파일 할당 정보(MFT)만 제거되고, 실제 내용(시그니처 포함)은 남아 있음, 따라서 복구 가능성이 있음.

A: ② 증거로 인정되지 않을 수 있음 키워드 설명: **변경 금지 원칙(Integrity)**은 디지털 증거 수집 시 원본을 훼손하거나 수정하지 않아야 한다는 기본 원칙으로, 위반 시 법적 증거능력 상실.

A. 프로그램 실행 이력 키워드 설명: Prefetch: 프로그램이 실행될 때 로딩 속도 향상을 위해 정보 기록. 실행된 시간, 경로 등도 포함되어 있어 분석 대상.

A. Logon Type 10 키워드 설명: Logon Type 10: 원격 데스크톱(RDP) 접속 시 사용되는 이벤트 타입. 이벤트 로그 분석에 활용.

A. EXIF 키워드 설명: EXIF (Exchangeable Image File Format): 촬영 날짜, 카메라 정보, GPS 정보 등 사진 파일에 포함된 메타데이터.

A. 폴더 열람 이력과 위치 정보 키워드 설명: Shellbag: Windows가 사용자가 탐색한 폴더의 위치, 뷰 설정을 저장. 삭제된 폴더 추적에도 활용.

A. NTUSER.DAT 키워드 설명: NTUSER.DAT: 각 사용자 계정에 연결된 레지스트리 설정을 저장. 사용자의 환경 설정, 최근 사용 기록 등 포함.

A. WebCacheV01.dat 키워드 설명: WebCacheV01.dat: ESE DB 형식. IE 및 Edge 브라우저의 사용 흔적이 저장됨.

A. 시그니처(Signature) 키워드 설명: Signature: 파일의 고유한 시작/끝 패턴. 파일이 삭제돼도 시그니처가 남아있으면 carving 가능.

A. 스테가노그래피(Steganography) 키워드 설명: Steganography: 데이터 은닉 기술. 텍스트, 이미지, 오디오 등에 몰래 정보를 숨김.

A. MAC 시간 키워드 설명: MAC (Modified, Accessed, Created): 파일의 수정/접근/생성 시간을 의미. 비정상 조작 탐지에 사용.

System\ControlSet001\Control\Windows\ShutdownTime

A. 이메일 헤더(Email Header) 키워드 설명: Email Header: 송신자 IP, 서버 정보, 전달 경로 등을 포함. 스푸핑 여부 확인 가능.

A. super timeline 키워드 설명: super timeline: 로그, 메타데이터, 레지스트리 등 다양한 시간 데이터를 통합해 시간순으로 정렬한 분석 자료.

A. Run 키 (HKCU 또는 HKLM\Software\Microsoft\Windows\CurrentVersion\Run) 키워드 설명: Run 키: 윈도우 시작 시 자동으로 실행될 프로그램들을 설정. 악성코드 감지에도 사용.

A. TypedURLs 키워드 설명: TypedURLs: 사용자가 직접 입력한 URL 기록을 저장하는 레지스트리 키. 수동 접속 기록 파악에 유용.

Volatility

컴퓨터의 메모리(RAM)에 있는 데이터를 특정 시점에 그대로 저장한 파일을 말해. 쉽게 말해, 컴퓨터가 '지금 이 순간 기억하고 있는 모든 정보'를 복사해서 파일로 만든 것이라고 보면 돼. --- 메모리 덤프의 핵심 특징 항목 설명 저장 대상 RAM에 존재하는 모든 데이터 (프로세스, 네트워크 세션, 암호, 열린 문서 등) 형태 .dmp, .raw, .bin 등의 파일 형식 생성 시점 시스템 크래시 시 자동 생성되기도 하고, 포렌식 도구로 수동 추출 가능 활용 목적 악성코드 분석, 해킹 흔적 추적, 암호 추출, 실시간 사용자 활동 분석 등

A: 할당되지 않은 상태로 남아 있지만, 덮어쓰지 않는 한 데이터는 유지된다. 키워드: NTFS 삭제 → NTFS는 파일을 삭제해도 데이터 영역 자체는 지워지지 않으며, MFT에서 해당 엔트리만 비워진다. 이 영역을 분석해 파일 복구가 가능하다.

A: NTUSER.DAT 키워드: NTUSER.DAT → 사용자별 레지스트리 하이브로, 최근 문서 기록, 프로그램 실행 흔적 등 사용자의 활동 정보가 저장된다.

A: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 키워드: Run 키 → 시스템 부팅 시 자동 실행되는 프로그램들을 등록하는 위치. 악성코드 분석에도 중요한 단서가 된다.

A: 쿠키 파일 (Cookies) 키워드: Cookies → 인증 정보, 사용자 설정 등이 저장되며, 브라우저 포렌식에서 중요한 데이터 소스이다.

A: EXIF 키워드: EXIF 메타데이터 → 디지털 사진에 자동으로 포함되는 정보로, 장소 및 시간 정보 등을 추적하는 데 유용하다.

A: Security.evtx (보안 이벤트 로그) 키워드: Security.evtx → Windows Event Log의 일종으로, 로그인, 권한 상승, 시스템 변경 등의 보안 이벤트를 기록한다.

A: ESE (Extensible Storage Engine) 키워드: ESE 형식 → Windows 시스템에서 사용되는 데이터베이스 형식으로, WebCacheV01.dat, mailstore 등의 분석에 활용됨.

A: 프로그램의 실행 시간 단축을 위한 캐싱 키워드: Prefetch → 실행한 프로그램 정보를 저장해 재실행 시 속도를 빠르게 함. 파일 이름에 실행 시각과 실행 횟수 등이 포함됨.

A: 파일 속에 다른 정보를 숨기는 기술 키워드: 스테가노그래피 → 이미지, 오디오, 영상 등에 텍스트나 파일 등을 은닉하여 감지되지 않도록 한다. 분석 도구가 필요함.

A: 히스토리, 쿠키, 캐시 키워드: WebCacheV01.dat → IE 및 Edge에서 사용되며, ESE 형식으로 구조화된 데이터로 분석 시 다양한 사용자 흔적을 추적할 수 있다.

A: Wireshark 키워드: Wireshark → 실시간 패킷 캡처 및 분석 도구. 프로토콜, IP, 포트 등을 시각적으로 확인 가능.

A: 증거 데이터의 무결성을 유지하기 위해 키워드: 쓰기 방지 장치 (Write Blocker) → 디스크나 저장장치에 데이터를 쓰는 행위를 차단해 증거의 변조를 막는다.

A: 공개키 암호 방식 키워드: 공개키 암호 (Public Key Crypto) → 비대칭키 구조. 개인키로 서명하면 공개키로 검증 가능. 인증 및 무결성 보장에 사용됨.

MAC 타임 비교 키워드: MAC 시간 → Modified(수정), Accessed(접근), Created(생성) 시간 정보. 비정상적 순서나 시간 격차로 조작 추정 가능.

A: 발신자, 경유 서버, IP 정보 등 추적 가능하기 때문 키워드: 이메일 헤더 → 발신자 위조 여부, 중간 경로(IP, 서버), 시간 정보 등을 포함. 스푸핑 여부 확인 가능.

A: 실시간 메모리 스냅샷 키워드 설명: FTK Imager: 이미지 획득 도구 Evidence Item: 디스크, 폴더, 파일, 이미지 등을 추가하는 기능 실시간 메모리 스냅샷: FTK Imager는 메모리 덤프 기능이 없음. Volatility 등이 사용됨

A: SYSTEM 키워드 설명: 레지스트리 하이브: SYSTEM, SOFTWARE, NTUSER.DAT 등 USB 흔적: SYSTEM 하이브의 Enum\USBSTOR 경로에 저장됨 분석 도구: USBDeview, Registry Explorer

A: dir /r 키워드 설명: ADS: NTFS에서 파일의 보조 데이터 저장 공간 dir /r: ADS 포함 모든 스트림 표시 포렌식 사용: 은닉 파일 탐지

A: ESE(Extensible Storage Engine) 키워드 설명: WebcacheV01.dat: IE 및 Edge의 히스토리, 쿠키, 캐시 저장 ESE: MS의 구조화 DB, .edb 파일 형태 분석 도구: ESEDatabaseView

A: 파일의 헤더 정보와 매직 넘버 키워드 설명: 시그니처 기반 탐지: 파일 시작 부분의 고유 패턴 식별 매직 넘버: 예: JPEG → FF D8 FF 한계: 위장된 파일명에는 속기 쉬움

A: 파일을 복사할 때 키워드 설명: MAC 시간: Modified, Accessed, Created 복사 시: Created는 새로 생성되므로 변화 이동 시: 시간 정보 유지 가능

A: NTUSER.DAT 키워드 설명: NTUSER.DAT: 사용자별 레지스트리 정보 최근 실행기록: Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 분석 도구: Registry Explorer, Regripper

A: EXIF 키워드 설명: EXIF: Exchangeable Image File Format

A: RAM (메모리) 키워드 설명: 시크릿 모드: 사용자 흔적 최소화 RAM: 휘발성 메모리지만 분석 시 흔적이 남을 수 있음

A: E5h 키워드 설명: FAT: 파일 할당 테이블 E5h: 삭제된 파일 표시용 특수 문자

A: 파일의 메타데이터 키워드 설명: MFT: NTFS의 핵심 구조 메타데이터: 파일 이름, 크기, 생성/수정/접근 시간 등

A: SYSTEM 하이브의 Enum\USB 키워드 설명: 레지스트리: 윈도우 설정 데이터베이스 USB 흔적: 장치 연결 시 자동 기록됨

A: WebCacheV01.dat 키워드 설명: ESE Database: Extensible Storage Engine 기반 DB WebCacheV01.dat: IE와 Edge의 캐시/히스토리 저장 파일

A: 파일 시스템 정보가 손상되었을 때 키워드 설명: 파일 카빙: 파일 구조 기반 복원 헤더/푸터 기반 검색: 확장자 대신 시그니처 활용

A: 메모리 분석 키워드 설명: Volatility: 오픈소스 메모리 포렌식 도구 프로세스, 네트워크, DLL 정보 등 분석 가능

A: SOFTWARE\Microsoft\Windows\CurrentVersion\Run 키워드 설명: 자동 실행 프로그램: 악성코드 흔적 분석 시 중요 Run 키: 로그인 시 실행되는 항목 저장

A: 증거 오염 가능성 키워드 설명: 라이브 분석: 시스템 작동 중 수집 오염: 수집 과정에서 데이터 변경 우려

A. .pf, 프로그램 실행 이력 키워드 설명: Prefetch: 프로그램 실행 시간과 경로 등의 정보를 저장해 성능 향상을 도모 .pf 파일: C:\Windows\Prefetch에 저장됨

A. .bash_history 키워드 설명: .bash_history: 사용자의 셸 명령 기록 파일 리눅스 포렌식에서 사용자 행위 추적에 중요

A. MFT (Master File Table) 키워드 설명: MFT: NTFS 구조의 핵심 메타데이터 영역 삭제 파일: 데이터는 남아 있고 MFT 항목만 삭제됨

A. /var/log 키워드 설명: /var/log: 시스템 로그, 보안 로그, 커널 로그 등 포함 macOS 포렌식의 기본 출발점