Page info
- Page type : PFP Reference
- Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> System Temp
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
윈도우 임시 폴더
운영체제는 시스템 운용이나 사용자의 특정 작업을 원활하게 하기 위하여 임시폴더라는 개념을 사용한다.
임시폴더는 말 그대로 임시로 사용되는 파일이나 폴더가 저장되는 경로로, 압축을 해제할 때에나 인터넷에서 다운로드 받은 파일을 저장 없이 실행할 때에 사용되는 것이 대표적인 예이다.
 |
| 임시폴더 예시 |
짐작할 수 있는 바와 같이 다양한 응용프로그램이나 운영체제 운용 상황에 임시폴더가 활발하게 사용되고 있기 때문에, 임시 폴더의 분석 목적을 특정하기는 어렵다. 또한 앞으로 만나게 될 분석 대상 시스템의 임시폴더에 어떤 데이터가 들어있는지 예측할 수도 없을 것이다.
중요한 것은 임시폴더 자체는 사용자가 굳이 알 필요가 없는 연산 과정을 수행하기 위한 데이터를 저장하기 위한 목적으로 존재하기 때문에, 임시폴더를 들여다보는 사용자가 거의 없다는 것이다. 그리고 임시폴더를 실제로 열어본다고 하더라도 여러가지 유형의 파일들이 규칙없이 산재하기 때문에, 특정 데이터가 눈에 띄기는 쉽지 않다.
문제는 이러한 특징을 악성코드 제작자나 사건 용의자가 이용하여 특정 파일을 은닉하는데 사용할 수도 있다는 것이다. 전적으로 가정일 뿐이지만, 임시폴더를 제대로 조사하지 않아 쉽게 얻을 수 있는 단서를 놓친 경험이 있다면 다음 조사 때 부터는 임시폴더를 꼭 확인하게 될 것이다.
또한, 임시폴더에 잔존하는 데이터를 통해 응용프로그램을 사용한 흔적을 일부 입증할 수 있을 가능성도 존재하므로, 사고 이미지 획득 시 임시폴더는 간단하게나마 살펴볼 필요가 있다는 것을 기억하자.
분석 대상(Target)
Target Path(Location)
|
%SystemRoot%\Temp\
%UserProfile%\Local Settings\Temp\ %UserProfile%\AppData\Local\Temp\ %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files |
Check List
|
Any file in temporary folder
|
Related Tools
|
None(Multi-dimensional analysis)
|
시스템에서 사용되는 임시 폴더가 존재하는 경로로, 사건에 따라 다각적인 분석을 필요로 한다.
실제로, %UserProfile%\Local Settings\Temp\와 %UserProfile%\AppData\Local\Temp\는 하드링크로 연결되어 있으며, 같은 곳을 가리킨다.
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.