FTK 실무 활용 가이드
- FTK 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
Recent Files 분석 [ by 김종광 ]
최근 실행 목록(Recent Files)
RecentDoc 파일을 분석하기 위해 OS가 설치되어있는 파티션을 선택합니다.
최근 실행 목록(Recent Files)
화면의 순서대로 경로를 이동하여 NTUSER.DAT 파일을 확인합니다.
최근 실행 목록(Recent Files)
Hive 파일 분석을 위해 위 순서대로 View 옵션을 실행합니다.
최근 실행 목록(Recent Files)
RecentDocs 레지스트리 키 내의 메타데이터 정보를 확인할 수 있습니다.
-
1. RecentDoc 폴더를 선택합니다.
-
2. 최근에 실행 된 확장자 리스트를 폴더형식으로 확인 가능합니다.
최근 실행 목록(Recent Files)
해시 값을 목록화 한 텍스트 파일은 아래 형식으로 작성해야 합니다.
-
1. 최근 실행 된 .jpg 파일 목록을 분석합니다.
-
2. 최근에 실행 된 .jpg 파일의 순서를 표시합니다.
-
3. 데이터를 디코딩하여 정리해줍니다, .jpg 실행 순서는 4번, 3번, 2번, 1번, 0번 순입니다.
-
1. 가장 최근에 실행된 .jpg 파일을 선택합니다.
-
2. jpg 파일의 이름은 '평면도 변경 도면.jpg' 으로 확인됩니다.