![]()
TCP1P CTF에 참가하여 Forensic 관련 문제를 풀던 중 NTFS의 ADS에 대해 새롭게 알게 된 부분이 있어 추가적인 공부를 진행하였다. 1. ADS(Alternate Data Stream)란? A다른 스트림 데이터 스트림으로 쉽게 설명하면 파일 내의 파일(데이터)이다. 일반적으로, 텍스트 파일(.txt)이나 실행 파일(.exe)의 텍스트 내용이나 실행 코드는 $Data 영역에 저장된다. 하지만, MacOS에서 사용하는 파일 시스템(HFS)은 Data 영역과 Resource 영역을 분리하여 사용하게 되는데 이러한 MacOS HFS과의 호환성을 위해 사용하는 기능이다. 2. ADS를 어떻게 사용할까? 우선, "ntfs ads test" 텍스트를 가진 텍스트 파일(.txt)을 하나 생성한 후 내용..
![]()
최근 6개월 간 포렌식에 관해서 공부를 거의 진행하지 않아, 포렌식에 대해서 공부를 다시 해야겠다라고 마음을 먹은 후 관련 자료를 찾다 Windows 11 Artifact 와 관련된 자료를 발견하였다. New Windows 11 Pro (22H2) Evidence of Execution Artifact! - AboutDFIR - The Definitive Compendium Project By: Andrew Rathbun and Lucas Gonzalez Background In the last week of December 2022, on the Digital Forensics Discord Server, some discussion was brought up by a member in the #com..
