Live Response
디지털 포렌식을 위해 증거를 수집할때는 활성 시스템과 비활성 시스템에서 수집을 하게 된다.
Live Response는 활성 시스템에서 수집하는 과정을 말한다.
살아있는 시스템에서 수집을 하지만 활성 데이터 뿐만 아니라 비활성 데이터까지 수집이 가능하다.
Live Response는 왜 필요함?
-> 휘발성 저장장치에서만 찾을 수 있는 정보가 있다.
예를 들어, 현재 동작하는 프로세스, 네트워크 연결 정보, 사용자 정보, 열려있는 파일 정보 등이 있다.
시스템이 꺼지고 나면 수집할 수 없는 데이터들이기 때문에 시스템을 끄기 전 수집해야함.
활성 시스템 vs 비활성 시스템
활성 시스템: 조사 대상 시스템의 전원이 켜져 있는 경우
비활성 시스템: 조사 대상 시스템의 전원이 꺼져 있는 경우
활성 데이터 vs 비활성 데이터
활성 데이터: 운영 중인 시스템에서 실시간으로 변경되거나 휘발될 수 있는 데이터
비활성 데이터: 시스템이 꺼져도 보존되는 데이터
'Windows forensic > Forensic Basics' 카테고리의 다른 글
| [디지털 포렌식] NTFS의 MFT(마스트 파일 테이블)란? (1) | 2025.03.12 |
|---|---|
| [디지털 포렌식] NTFS 파일 시스템의 구조와 특징 (0) | 2025.03.12 |
| [디지털 포렌식] FAT 파일 시스템의 구조와 특징 (1) | 2025.03.12 |
| 활성(라이브)데이터 vs 비활성 데이터 (0) | 2025.02.26 |
| NTFS의 개념과 VBR, MFT (0) | 2025.02.06 |