0728 디지털 포렌식 스터디

// 트랜잭션 (Transaction)

• "쪼갤 수 없는 업무 처리의 최소 단위"
• 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등
• $Logfile: 메타 데이터의 트랜잭션 저널 정보

​

 

// prefatch는 파일의 삭제나 경로의 변경에 영향을 받지 않는다.

//$UsnJrnl

• 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그파일
• 파일 복원의 목적이 아니라 단순 파일 작업이 있었다는 사실을 확인하기 위함
• 시간 순서대로 엔트리를 저장하고, 기본 크기는 32MB
  • 하루 8시간 사용시 4~5일 정도의 데이터를 저장하고 있음

 

// 저널링 (Jounaling)

• 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용
  • 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨
  • 문제가 발생하기 전에 "어떤 데이터를 언제 어디에 쓰는지 기록"
  • 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원

 

// 프리패치의 경로 : %SystemRoot%\Prefetch