2014년 9월 10일 수요일

디스크 이미징 하드웨어(Disk Imaging Hardware)



Page info

디스크 이미징 하드웨어(Disk Imaging Hardware)

디스크 이미징 장비는 디스크 사본 생성만을 위해 존재하며, 전용 운영체제와 이미징용 소프트웨어, 저장장치 연결을 위한 포트 등을 내장하여 간단하고 빠르게 사본의 생성을 가능하게 해준다.

디스크 이미징 전용 장비를 통한 이미징은 디스크 사본 생성에 최적화된 하드웨어 구성으로 데이터 복사 속도를 극대화 하는 장점이 있으며, 쓰기 방지 기능 역시 내장하여 원본에 대한 변조 가능성을 원천적으로 차단한다.

또한, 장비 성능에 따라 속도 저하 없이 다수(4~16) 사본을 동시에 생성 가능하여 전체 조사에 소요되는 시간을 크게 절약해주는 역할을 한다. 


다만, 일반적으로 디스크 이미징 하드웨어 장비는 개인이 소유하기에는 상당히 고가이기에 디지털 포렌식 전문 수행 조직에 참여하게  경우에나 접할 가능성이 높다. 

이에, 전용 장비 사용에 충분히 대비하기 힘든 것을 걱정하는 학습자들이 더러 있지만, 걱정할 필요는 없다. 

대부분의 장비는 공통된 인터페이스(대부분 ICS, Intelligence Computer Solutions를 탑재)를 사용하고 있으며, 직관적인 사용자 인터페이스를 가지고 있기에디스크 이미징 원리만 충실히 알고 있다면, 빠르게 숙지하여 무리 없는 사용이 가능하기 때문이다. 



분석 대상(Target)

※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
   (PFP ManualPFP DownloadPFP home)


디스크 이미징 하드웨어 장비(Equipment for disk imaging)
Check List
Imaging source disk
Imaging destination disk
Image format
Compression efficiency
Related Tools
RoadMasster-3(Hardware)
Rapid image 7020(Hardware)
Masster Solo 4 Ruggedized(Hardware)
Solo - 4 IT(Hardware)
and etc ..

위 표에 목록화된 브랜드의 장비 라인업은 끊임없이 발전하고 있으며,

중요한 것은 속한(혹은 속하게 될) 조직에서 사용하고 있는 장비의 사용법을 짧은 시간안에 숙지하는 것이라는 것을 기억하자.

디스크 이미징 소프트웨어(Disk Imaging Software)



Page info


    디스크 이미징 소프트웨어(Disk Imaging Software)

    소프트웨어를 통한 디스크 이미징은 중요한 서비스를 제공하는 서버와 같이 시스템을 종료할 없을 때 처럼 활성 상태에서 디스크 사본을 생성해야하는 경우에 용이하게 사용된다. 

    혹은, 전용 이미징 하드웨어 장비를 소지하고 있지 않거나 사용할 수 없는 환경에서도 조사관은 자신의 시스템이나 노트북에 조사 대상 디스크를 연결한 후 이미징 소프트웨어를 구동하여 디스크 사본을 생성해야 한다. 


    이미징 소프트웨어를 이용하는 사본 생성 방법은, 고가의 전용 이미징 장비 없이도 사본을 생성할 수 있다는 장점이 있지만, 

    시스템에 따라 다소 속도가 느릴 수 있다는 점과, 반드시 쓰기 방지 장치를 연결하여 원본에 대한 변조 가능성을 차단해야 하는 것만은 기억하자.

    • 쓰기 방지 장치 : 저장 장치와 컴퓨터 사이에 연결되어 컴퓨터에서 저장장치를 '읽기' 허용하고, '쓰기'신호는 막는 장치 (ex.Tableau Forensic Bridge)




    분석 대상(Target)

    ※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
       (PFP ManualPFP DownloadPFP home)


    운영체제 디스크 오브젝트를 통한 수집(Collect via the disk object)
    Check List
    디스크 이미지 수집(Disk image acquisition)
    • 일반적으로 디스크 오브젝트에 접근하여 전체 디스크 이미지 획득
      • 부트 영역, 볼륨 슬랙 등의 내용 파악을 위해 필요
    파티션 이미지 수집(Partition image acquisition)

    • 파티션 단위 이미지 획득이 필요한 경우
      • 시스템 권한 문제로 디스크 오브젝트에 대한 접근이 불가능한 경우
      • 조사 권한이 특정 파티션에 한정된 경우
    Related Tools
    [Public] Disk Imaging

    소프트웨어를 통해 디스크 사본을 생성할 때에는 운영체제가 제공하는 디스크 관리 오브젝트에 접근하여 사본을 생성하는 것이 가장 일반적인 방법이다. Windows 자신이 잡고 있는 저장장치에 대한 오브젝트(핸들)와 이에 접근 가능한 API 제공하고 있으며, 이를 이용한 이미징 소프트웨어가 다수 존재하므로 적절히 활용하여 사본을 생성할 수 있도록 하자. 

      아래와 같이 dd, WinHex, FTK Imager 등과 같은 다양한 도구 디스크 관리 오브젝트에 대한 확인 수집이 가능하다. (WinHex의 경우 이미징 기능 존재 X)

      dd -list
      WinHex
      FTK Imager



      2014년 9월 9일 화요일

      비휘발성 데이터 선별 수집(Non-Volatile Selective acquisition)



      Page info


       휘발성 데이터의 선별 수집(Non Volatile-Selective Acquisition)

       휘발성 데이터란 컴퓨터 시스템의 보조 기억 장치(HDD, SSD ) 저장되어 전원이 공급 되지 않아도유실되지 않는 데이터를 의미한다. 이름과 같이 휘발성 데이터와는 반대되는 개념으로, 안정적으로 시스템에 적재되어 있기 때문에 상대적으로 안정적인 수집이 가능하여 휘발성 데이터의 수집 이후에 수집하는 것이 일반적이다. 

        비 휘발성 데이너는 일반적으로, 디스크 이미징을 통해 사건을 정밀하게 분석할 때의 주 분석 대상이 되는 데이터로도 볼 수 있다. 

          디스크 사본을 생성한 경우에는 따로 비 휘발성 데이터를 확보할 필요가 없지만, 필요에 따라 활성 시스템 포렌식 중에도  휘발성 데이터를 수집하기도 한다. 

          아래의 내용을 보자. 


            활성 상태에서의  휘발성 데이터 수집 목적


            디스크 사본 생성이 가능한 환경에서 활성 시스템 포렌식 중 비 휘발성 데이터를 수집하는 목적은, 디스크 사본을 생성하는 시간을 활용하여 효율 적인 분석을 수행하기 위함이다. 

            디스크 사본에 대한 정밀 분석을 하기 이전에 사건의 정황  분석 방향을 미리 파악한다면, 전체 조사에 큰 도움이 된다. (물론, 사본 생성간의 시간이 짧거나 해당 시간 중에 다른 일을 해야 한다면 굳이 비 휘발성 데이터를 따로 수집하는 수고를 할 필요는 없다.)

            단, 디스크 이미징이 허용되지 않는 환경에서는 조금 더 정확한 조사를 위해 상황과 조건이 허용하는 한도에서 최대한 비 휘발성 데이터를 수집하여 분석하는 것이 필수이다.


             휘발성 데이터 수집  주의 


            비 휘발성 데이터를 수집할 때에는 일반적인 파일 열람, 복사 도구(explorer )를 사용해서는 안된다. 


            서비스활성 프로세스에 연결되어 있는 데이터는 추출되지도 않을 뿐더러, 추출된 데이터조차도 생성, 접근 시간정보 등이 무너져 정확한 분석이 불가능 하게 되기 때문이다. 

            따라서 디스크 오브젝트에 접근한 후, 파일 시스템을 해석하여 데이터를 추출하는 방법을 사용해야 하며(관련 도구는 PFP의 [Public] Raw Copy도구 그룹 확인), 

            가능하다면 데이터의 수집 목록과 원본 위치해쉬  등을 기록문서화 하는 등의 조치와 함께 

            현장 증인동영상 기록서명된 수집 확인서 등 수집 과정에 대한 정당성 확  변조 가능성을 일축하기 위한 보조 자료를 다수 준비하는 것이 좋다. 




               페이지에서는,  활성 데이터  수집이 필요한 항목과 해당 항목의 수집 목적을 기술한다.  항목의 분석 방법에 대해서는 PFP Document Windows System Analysis 기술 그룹의 내용을 통해 확인 가능하다. 



                분석 대상(Target)

                ※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
                   (PFP ManualPFP DownloadPFP home)


                문서 파일(Document File)

                Target Path(Location)
                %All_Folders%\*.hwp
                %All_Folders%\*.doc
                %All_Folders%\*.docx
                %All_Folders%\*.ppt
                %All_Folders%\*.pptx
                %All_Folders%\*.xls
                %All_Folders%\*.xlsx
                %All_Folders%\*.one
                %All_Folders%\*.txt
                Check List
                Collecting all document files in this system
                Related Tools
                [Public] Raw Copy

                문서파일은 여러 사건에서 핵심 쟁점 사항인 경우가 많다. 침해사고 대응과정에서는 유난히 단서를 주지 못하는 데이터이지만, 대부분의 유저들의 컴퓨터 사용 목적이 '문서 작성 및 웹 서핑'이라는 점에 착안할 때, 증거 수사 시 필수적인 조사항목으로 분류되는 경우가 많다. 

                  물론, 침해사고 조사 과정에서도 문서파일의 취약점을 이용한 공격의 조사를 수행할 때에는 살펴볼 필요가 있지만, 여전히 파일의 내용을 볼 필요는 없다.

                  따라서, 상황에 따라 우 수집하여 살펴볼 문서파일이 있는 경우에는 활성 시스템 대응 과정에서 확보하는 것이 좋다. 



                      사용자 폴더(User folder)
                        Target Path(Location)
                        %UserProfile%
                        (Current user directory)
                        %SystemDrive%\Users\
                        (All user directories in this system(in Vista and more over))
                        %SystemDrive%\Document and Settings\
                        (All user directories in this system(in XP, 2003))
                        Check List
                        Download
                        My document
                        Recent
                        etc
                        Related Tools
                        [Public] Raw Copy

                        사용자 계정의 폴더에는 사용자 행위를 추측할만한 기록이 다수 포함되어 있다. 

                          대부분의 경우 최근에 사용한 문서즐겨찾기따로 보관중인 문서 등이 사용자 폴더 하위에 존재하므로, 컴퓨터 사용자가 주로 활용하는 데이터를 살펴보기 위한 경우 사용자 폴더를 살펴 필요한 내용을 미리 수집할 필요가 있다. 



                            최근 문서(Recent)
                              Target Path(Location)
                              %UserProfile%\Recent\
                              %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
                              %UserProfile%\AppData\Roaming\Microsoft\Office\Recent\
                              %UserProfile%\NTUSER.DAT
                              Check List
                              All file in recent folder
                              NTUSER.DAT file in user folder
                              Related Tools
                              [Public] Raw Copy

                              사용자 폴더 중에서도 최근 문서 폴더에는 사용자가 최근 열람한 문서의 링크파일이 존재한다. 

                                부정에 사용된 문서나 쟁점이 되는 문서의 링크파일이 존재하는 경우 유용한 정보를 다수 획득 가능하다. 



                                    바로가기 링크(Shortcut)
                                      Target Path(Location)
                                      %UserProfile%\Desktop\
                                      %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\
                                      %UserProfile%\Recent\
                                      %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
                                      %UserProfile%\Start Menu\Programs\
                                      %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
                                      %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
                                      Check List
                                      .lnk files
                                      Related Tools
                                      [Public] Raw Copy

                                      링크 파일이 존재한다는 것은 링크 원본이 자주 사용되는 데이터일 가능성이 높다는 반증이다. 위 표는 최근 문서 이외에도 시스템 사용시 링크 파일이 주로 생성되는 위치를 나타낸다. 



                                          복원 지점(Restore point)
                                            Target Path(Location)
                                            %SystemDrive%\System Volume Information\_restore{GUID}\RP###
                                            %SystemRoot%\system32\Restore\
                                            Check List
                                            All files in %SystemRoot%\system32\Restore\
                                            Following files in System Volume Information
                                            - fifo.log file
                                            - change.log file
                                            - rp.log file
                                            - Registry snapshot
                                            - and etc(A#####.)
                                            Related Tools
                                            [Public] Raw Copy

                                            XP 복원 지점이나 Vista 이상의 VSC(Volume Shadow Copy)는 과거 시점의 시스템 상태를 파악하는데 도움이 되는 정보를 제공한다. 

                                            또한디스크에서 유실된 데이터를 찾는데 도움이 되는 정보들 다수 포함하는 경우도 많다. 



                                                시스템 아티팩트, 파일 시스템 아티팩트(Artifact(FileSystem))
                                                Target Path(Location)
                                                [NTFS Meta Files]
                                                %SystemDrive%\$MFT
                                                %SystemDrive%\$LogFile
                                                %SystemDrive%\$Extend\$UsnJrnl
                                                Check List
                                                Download
                                                My document
                                                Recent
                                                etc
                                                Related Tools
                                                [Public] Raw Copy

                                                NTFS 파일 시스템은 메타데이터 영역을 파일로 관리한다. 이는  휘발성 데이터 취득  동반하여 내용을 취득하기 용이하다는 것을 의미한다. 

                                                또한타임라인 분석 등을 통해 사건의 그림을 그리는데 매우 중요한 역할하는 것이 파일 시스템 메타데이터이므로, 조사 대상 시스템이 NTFS 파일 시스템을 사용한다면 비 휘발성 데이터 수집 시 같이 수집하는 것이 좋다. 



                                                  시스템 아티팩트레지스트리(Artifact(Registry))
                                                    Target Path(Location)
                                                    %UserProfile%\NTUSER.DAT
                                                    %SystemRoot%\System32\config\system
                                                    %SystemRoot%\System32\config\software
                                                    %SystemRoot%\System32\config\sam
                                                    %SystemRoot%\System32\config\default
                                                    Check List
                                                    NTUSER.DAT hive file
                                                    System hive file
                                                    software hive file
                                                    sam hive file
                                                    default hive file
                                                    Related Tools
                                                    [Public] Raw Copy
                                                    REGA

                                                    레지스트리는 Windows Family 시스템이나 응용프로그램의 다양한 설정 정보를 저장활용하기 위해 사용하는 관리 체계이다. 이에 대한 전용 분석 도구가 이미 많이 개발되어 있으므로, 수집 후 분석이 용이하고 분석 후, 시스템  응용프로그램에 관한  많은 정보를 획득할  있다가능하다면 반드시 수집하자. 



                                                        시스템 아티팩트이벤트 로그(Artifact(eventlog))
                                                          Target Path(Location)
                                                          [In Vista and more over]
                                                          %SystemRoot%\System32\winevt\Logs\security.evtx
                                                          %SystemRoot%\System32\winevt\Logs\system.evtx
                                                          %SystemRoot%\System32\winevt\Logs\application.evtx
                                                          %SystemRoot%\System32\winevt\Logs\*.evtx
                                                          [In XP and 2003]
                                                          %SystemRoot%\System32\Config\SysEvent.Evt
                                                          %SystemRoot%\System32\Config\AppEvent.Evt
                                                          %SystemRoot%\System32\Config\SecEvent.Evt
                                                          Check List
                                                          System, Application, Security logs(necessary)
                                                          can gather more information in vista or more over 
                                                          Related Tools
                                                          [Public] Raw Copy

                                                          침해사고 분석에서 이벤트 로그의 조사는 감사 로깅이 설정된 경우, 프로그램의 실행외부 접속  사건 해결의 실마리가 되는 결정적인 정보를 제공하는 경우가 많다. 

                                                          또한 침해사고 분석 이외에도시스템 감사 설정 여부에 따라 다양한 정보를 남기기 때문에 디지털 포렌식 분석  꼭 살펴보아야할 부분 중 하나이다. 



                                                            시스템 아티팩트 브라우저(Artifact(Web browser))
                                                              Target Path(Location)
                                                              [Internet explorer, vista and more over]
                                                              %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 
                                                              (Internet explorer temporary internet file, Internet explorer Cache)
                                                              %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\\*.*
                                                              (Internet explorer temp)
                                                              %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
                                                              %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\
                                                              MSHist###################\index.dat
                                                              (Internet explorer History)
                                                              %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
                                                              %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\
                                                              (All text file, Internet explorer Cookie)
                                                              %UserProfile%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
                                                              (Internet explorer download)

                                                              [Internet explorer, XP and lower]
                                                              %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.*
                                                              (Internet explorer temporary internet file)
                                                              %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
                                                              %UserProfile%\Local Settings\Temporary Internet Files\Content.IE\\*.*
                                                              (Internet explorer Cache)
                                                              %UserProfile%\Local Settings\History\History.IE5\index.dat
                                                              %UserProfile%\Local Settings\History\History.IE5\<Period>\index.dat
                                                              (Internet explorer History)
                                                              %UserProfile%\Cookies\index.dat
                                                              %UserProfile%\Cookies\
                                                              (All text file, Internet explorer Cookie)


                                                              [FireFox, Vista and more over]
                                                              %UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\\Cache\_CACHE_MAP_XXX
                                                              (Cache)
                                                              %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite
                                                              (History)
                                                              %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite
                                                              (Cookie)
                                                              %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\download.sqlite        
                                                              (Download)

                                                              [FireFox, XP and lower]
                                                              %UserProfile%\Local Settings\Application Data\Mozilla\Firefox\Profiles\.default\Cache\
                                                              (All folder and file, Cache)
                                                              %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite
                                                              (History)
                                                              %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\cookies.sqlite
                                                              (Cookie)
                                                              %UserProfile%\Application Data\Mozilla\Firefox\Profiles\.default\downloads.sqlite
                                                              (Download)


                                                              [Google ChromeVista and more over]
                                                              %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cache\
                                                              (Cache)
                                                              %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History
                                                              (History, Download)
                                                              %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History\History Index <YYYY-MM>
                                                              (History)
                                                              %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cookies
                                                              (Cookie)

                                                              [Google ChromeXP and lower]
                                                              %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\*.*
                                                              (Cache)
                                                              %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\History
                                                              (History, Download)
                                                              %USERNAME%\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index <YYYY-MM>
                                                              (History)
                                                              %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies
                                                              (Cookie)


                                                              [SafariVista and more over]
                                                              %UserProfile%\AppData\Local\Apple Computer\Safari\Cache.db
                                                              (Cache)
                                                              %UserProfile%\AppData\Roaming\Apple Computer\Safari\History.plist
                                                              (History)
                                                              %UserProfile%\AppData\Roaming\Apple Computer\Safari\Cookies\Cookies.plist
                                                              (Cookie)
                                                              %UserProfile%\AppData\Roaming\Apple Computer\Safari\Downloads.plist
                                                              (Download)

                                                              [Safari, XP and lower]
                                                              %UserProfile%\Local Settings\Application Data\Apple Computer\Safari\Cache.db
                                                              (Cache)
                                                              %UserProfile%\Application Data\Apple Computer\Safari\History.plist
                                                              (History)
                                                              %UserProfile%\Application Data\Apple Computer\Safari\Cookies\Cookies.plist
                                                              (Cookie)
                                                              %UserProfile%\Application Data\Apple Computer\Safari\Downloads.plist
                                                              (Download)


                                                              [Opera, Vista and more over]
                                                              %UserProfile%\AppData\Local\Opera\Opera\cache\dcache4.url
                                                              (Cache)
                                                              %UserProfile%\AppData\Roaming\Opera\Opera\global_history.dat
                                                              (History)
                                                              %UserProfile%\AppData\Roaming\Opera\Opera\cookies4.dat
                                                              (Cookie)
                                                              %UserProfile%\AppData\Roaming\Opera\Opera\download.dat
                                                              (Download)

                                                              [Opera, XP and lower]
                                                              %UserProfile%\Local Settings\Application Data\Opera\Opera\cache\dcache4.url
                                                              (Cache)
                                                              %UserProfile%\Application Data\Opera\Opera\global_history.dat
                                                              (History)
                                                              %UserProfile%\Application Data\Opera\Opera\cookies4.dat
                                                              (Cookie)
                                                              %UserProfile%\Application Data\Opera\Opera\download.dat
                                                              (Download)
                                                              Check List
                                                              Web history
                                                              Web Cache
                                                              Web Cookie
                                                              Web download list
                                                              Consider the following web browser
                                                               - Internet explorer, Chrome, Safari, Firefox, Opera
                                                              Related Tools
                                                              [Public] Raw Copy
                                                              WEFA

                                                               브라우저 사용 흔적은 사용자의 결정적 행위사상악성코드의 유입 지점 등을 추측할  있는 정보를 상당수 포함하므로 레지스트리와 더불어, 반드시 수집하여 정보를 조사할 필요가 있는 분야이다. 


                                                                시스템 아티팩트프리패치(Artifact(Prefetch, Superfetch))
                                                                  Target Path(Location)
                                                                  %SystemRoot%\prefetch\
                                                                  Check List
                                                                  Download
                                                                  My document
                                                                  Recent
                                                                  etc
                                                                  Related Tools
                                                                  [Public] Raw Copy

                                                                  프리 패치 폴더에서는 프리패치 파일(.pf)의 분석을 통해 실행파일이 동작한 흔적(동작 시간 ) 근거자료를 충분히 획득할 수 있다. 



                                                                      시스템 아티팩트윈도우 로그(Artifact(Windows log))
                                                                        Target Path(Location)
                                                                        %SystemRoot%\PANTHER\setupact.log
                                                                        %SystemRoot%\Debug\Netsetup.log
                                                                        %SystemRoot%\SchedLgU.txt
                                                                        %SystemRoot%\system32\LogFiles\Firewall\pfirewall.log
                                                                        %SystemRoot%\pfirewall.log
                                                                        %SystemRoot%\Drwatson\Watsonxxx.wlg
                                                                        %SystemRoot%\setupact.log
                                                                        %SystemRoot%\logs\cbs\cbs.log
                                                                        %SystemRoot%\PANTHER\setuperr.log
                                                                        %SystemRoot%\setuperr.log
                                                                        %SystemRoot%\INF\setupapi.dev.log
                                                                        %SystemRoot%\INF\setupapi.app.log
                                                                        %SystemRoot%\setupapi.log
                                                                        Check List
                                                                        Setupact
                                                                        Netsetup
                                                                        Task Scheduler
                                                                        Firewall Log
                                                                        Dr.Watson
                                                                        Cbs.log
                                                                        Setuperr
                                                                        Setupapi
                                                                        Related Tools
                                                                        [Public] Raw Copy

                                                                        위 표는 윈도우에서 운용하는 주요 로그의 경로를 나타내고 있으며, 로그파일을 정밀히 조사하면 파일의 실행 흔적어플리케이션 설치 정보외장장치 연결 흔적예약된 작업 등, 시스템 운용에 관련된 정보를 다수 획득할 수 있다