A. Session Storage 또는 Current Session 키워드 설명: Session Storage: 사용자가 마지막으로 열어둔 탭, URL 등의 정보를 담고 있는 파일. 범죄 시 열람 기록 추적 가능.

A. 사용자가 열어본 폴더의 경로 및 시간 확인 키워드 설명: Shellbag: Windows 탐색기에서 폴더를 열면 레지스트리에 기록됨. 삭제된 폴더도 기록으로 남아 분석 가능.

A. Modified (수정된 시간) 키워드 설명: MAC 시간: Modified, Accessed, Created의 약자로 파일의 시간흔적을 분석하여 사용자의 행위 시점 파악 가능.

A. ESE 형식 (Extensible Storage Engine) 키워드 설명: ESEDatabaseView: ESE 형식의 데이터베이스 파일을 GUI로 열람·분석할 수 있게 해주는 도구. WebCacheV01.dat 분석 시 주로 사용됨.

A. History (SQLite 형식) 키워드 설명: History 파일: Chrome의 SQLite 기반 방문 기록 저장소. visited URL, 방문 시간 등이 기록되어 있음.

A. 로그온(Logon) 이벤트 키워드 설명: 로그온 이벤트: Windows 보안 로그로, 사용자 인증 및 로그온 타입을 분석하여 시스템 접근 시도 확인 가능.

A: UserAssist → 사용자가 실행한 프로그램 정보를 ROT13 방식으로 인코딩해 저장하는 레지스트리 키로, 실행 시간과 횟수 확인 가능.

A: 시스템 로그 (System Log) → Windows 이벤트 로그 중 하나로, 시스템의 날짜/시간 변경, 부팅/종료 기록 등 확인 가능.

A: 메모리 또는 스왑 파일 → 시크릿 모드는 하드디스크에 흔적을 남기지 않지만, RAM이나 페이지파일(pagefile.sys)에 일시적으로 정보가 남을 수 있음.

A: 헤더 정보 (Header) → Received 라인, Message-ID, Return-Path 등 SMTP 헤더 항목을 분석해 실제 발신 서버와 경로 추적 가능.

A: .reg 또는 .dat → 시스템 복원 지점은 구성 요소를 백업하며, 레지스트리는 일반적으로 .dat(예: SOFTWARE, SYSTEM) 또는 .reg 형식으로 저장됨.

A: 언할로케이티드 영역 (Unallocated Space) → 파일 시스템에서 할당이 해제된 공간으로, 복구 도구로 삭제 파일의 내용을 복원할 수 있는 영역.

A. Unallocated space [키워드 설명] Unallocated space: 파일 시스템에서 삭제된 파일의 실제 데이터가 남아 있는 공간. 새 데이터로 덮어쓰기 전까지 복구 가능성이 존재함.

A. .pf / 실행 파일의 빠른 실행을 돕기 위해 사용 [키워드 설명] Prefetch (.pf): 자주 실행되는 프로그램의 정보를 저장하여 시스템 부팅 및 프로그램 로딩 속도를 높이기 위한 파일.

A. ESE (Extensible Storage Engine) [키워드 설명] ESE (Extensible Storage Engine): 트랜잭션 기반의 고성능 DB엔진으로, Windows의 IE/Edge 브라우저 캐시 저장 등에 사용됨.

A. 부팅 시 자동 실행되는 프로그램 정보 [키워드 설명] Run Key: HKEY_LOCAL_MACHINE 또는 HKEY_CURRENT_USER 아래 위치, 부팅 시 자동 시작 프로그램 확인 가능.

A. 해시(Hash) 값 [키워드 설명] Hash: 데이터의 무결성 검증용으로 사용되는 고유한 값. 흔히 MD5, SHA-1, SHA-256 등이 사용됨.

A. SYSTEM 하이브의 USBSTOR [키워드 설명] USBSTOR: SYSTEM\CurrentControlSet\Enum\USBSTOR 경로에 저장. 연결된 장치의 VID, PID, 시리얼 넘버 등이 기록됨.

A. 기록되지 않는다 [키워드 설명] 시크릿 모드: 캐시, 히스토리, 쿠키 등 흔적을 남기지 않도록 설계된 브라우저 기능.

A. Event ID 1074 또는 6006 [키워드 설명] Event ID 1074/6006: 1074는 사용자에 의한 종료, 6006은 정상 종료(Shutdown 이벤트)를 의미함.

A. /data/data/ [키워드 설명] /data/data/: 각 앱 별 내부 데이터(설정, 캐시, DB 등)가 저장되는 경로로, 루팅 없이는 접근이 제한됨.

카메라 모델 A. ③ 파일 삭제 시간 [키워드 설명] EXIF: 디지털 사진에 포함된 메타데이터. 촬영 정보는 담지만, 사용자의 파일 삭제 이력은 포함하지 않음.

사용자나 시스템의 행동일지

중요행동사항 시차별 일지

3. 무결성 검증 과정 예시: 증거 이미지 파일 확보 과정 1. 이미징 전 해시값 계산 원본 저장 장치에서 데이터를 추출하기 전, 원본의 해시값(MD5나 SHA-256 등)을 계산해서 기록함. 2. 이미징 수행 (복사) FTK Imager, EnCase 같은 도구로 디스크 이미지를 복제함. 3. 복제본 해시값 계산 복제된 이미지 파일의 해시값을 다시 계산. 4. 해시값 비교 원본 해시값과 복제본 해시값이 같으면: → 무결성 보장 (원본이 변경되지 않음) 다르면: → 무결성 손상 (중간에 변경되었을 가능성)

A: Internet Explorer 키워드 설명: WebCacheV01.dat: IE의 ESE 데이터베이스 형식으로, 히스토리, 캐시, 쿠키 정보 등이 저장됨.

A: 10 키워드 설명: Logon Type 10: 원격 데스크톱 접속으로 시스템 원격 침입 여부 파악 가능.

A: ShimCache (또는 AppCompatCache) 키워드 설명: ShimCache: 실행된 프로그램들의 경로와 실행 시점 정보가 담겨 있음.

A: $I 파일 키워드 설명: $I 파일: 휴지통에서 삭제 파일의 원래 위치, 삭제 시각, 크기 등을 저장.

A: 메모리 (RAM) 키워드 설명: 시크릿 모드: 로컬 기록은 남기지 않지만 메모리나 스왑 영역 등에서는 흔적이 존재할 수 있음.

좋은 질문이에요 👍 **디스크 브라우징 기술(disk browsing)**은 디지털 포렌식 조사자가 저장매체(하드디스크, SSD, USB 등)를 직접 탐색하면서 파일과 디렉터리 구조를 살펴보는 기술을 말해요. 쉽게 말하면, 컴퓨터에 장착된 디스크를 포렌식 도구(EnCase, FTK, X-Ways 등)를 사용해서 마치 탐색기처럼 열어보고, 파일·폴더 구조, 삭제 흔적, 숨김 파일, 시스템 파일 등을 하나하나 확인하는 과정이에요. --- 📌 주요 특징 1. 탐색 기반 조사 사용자가 특정 키워드를 검색하기 전에, 직접 디렉터리를 열어보고 구조를 확인함. 예: "C:\Users\홍길동\Documents" 폴더를 직접 열어서 안에 어떤 파일이 있는지 확인. 2. 파일 시스템 메타데이터 활용 NTFS라면 MFT(Master File Table), FAT라면 FAT 테이블을 읽어 파일 이름, 생성/수정/접근 시간(MAC 타임스탬프), 크기, 경로 등을 확인 가능. 3. 삭제 파일·숨김 파일 확인 가능 일반 탐색기에서는 안 보이지만, 포렌식 툴은 삭제된 흔적(0xE5 표시 등)이나 슬랙 공간도 볼 수 있음. 4. 초기 스크리닝 단계에서 활용 키워드 검색이나 타임라인 분석 전, 어떤 데이터가 존재하는지 큰 그림을 파악할 때 사용. --- 📂 예시 NTUSER.DAT 같은 레지스트리 파일을 직접 열어 확인 WebCacheV01.dat 같은 브라우저 기록 DB를 찾아내기 위해 디스크 브라우징 "Secret.docx" 같은 문서가 삭제되었지만 여전히 클러스터에서 흔적을 찾을 수 있음 --- 👉 정리하면, 디스크 브라우징은 '포렌식 탐색기'를 통해 증거 디스크를 직접 열어보면서 구조와 데이터를 확인하는 기본적이고 중요한 기법이에요. 원한다면 제가 디스크 브라우징 기술이 '키워드 검색'이나 '타임라인 분석'과 어떻게 다르고 보완 관계에 있는지까지 비교 정리해드릴까요?