[ 포렌식 ] 윈도우 폴더 구조

728x90

1. 개요

포렌식 공부를 하며 윈도우 포렌식을 위해 필수로 알아야 할 윈도우의 폴더 별 역할과 기능을 정리함

여러 사이트를 돌아다니며 묶어 정리한 내용으로, 하단 출처를 통해 원본과 함께 정리하며 공부함

2. 주요 폴더

2-1. 시스템 폴더

운영체제	사용자 프로필 폴더	기본 시스템 폴더
Windows 9x / ME	X	C:\Windows
Windows NT	C:\WINNT\Profiles	C:\WINNT
Windows 2000	C:\Documents and Settings
Windows XP		C:\Windows
Windows Vista / 7 / 8 / 10 / 11	C:\Users

Windows NT 이전: 개인 사용자 목적 OS
- -> 다중 사용자에 대한 경우를 생각하지 않아도 되기 때문에 별도의 사용자 프로필 폴더가 필요하지 않음
Windows NT 이후: 다중 사용자 OS
- -> 각 사용자 별 프로필 정보를 모아둘 공간 필요 -> C:\WINNT\Profiles
XP -> Vista: 사용자 프로필 폴더가 변경됨
- 이름이 길고 불명확하며 공백이 있어 변경됨
- 내부적으로는 Documents and Settings 폴더가 사라진 것은 아니며, 기존 버전과의 호환성을 위해 아직 존재하긴 함 (WinHex로 까보면 나옴)

2-2. 휴지통

운영체제	경로
Windows 9x / ME	<vol>:\Recycled
Windows NT	<vol>:\Recycler\<USER SID>
Windows 2000
Windows XP
Windows Vista / 7 / 8 / 10 / 11	<vol>:\$Recycle.Bin\<USER SID>

<USER SID>: USER Security IDentifier
- SID정보 위치: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProfileList
삭제된 파일의 이름형식
- ~XP: D{DRIVE_ALPHABET}{IDX_NUM}.{ORG_EXT}
  - ex) E드라이브, 5번째 삭제된 txt파일: De5.txt
- Vista~: 랜덤 ($R[RAND_STR]) => 대응되는 파일이 생성되어 이전의 INFO2 파일의 역할을 대신 수행함 ($I[RAND_STR])

2-3. 최근 접근 문서 폴더 (Recent)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\Recent
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\AppData\Roaming\Microsoft\Windows\Recent

2-4. 바탕화면

운영체제	경로
공통	[USR_PROFILE_DIR]\<username>\Desktop

2-5. 내 문서 폴더 (Documents)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\My Documents
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\Documents

2-6. 임시폴더 (Temp)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\Local Settings\Temp
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\AppData\Local\Temp

프로그램 설치나 제거 시 임시적으로 사용하는 파일들을 위해 사용되는 경로
관련 파일들은 해당 경로에서 사용된 뒤 일반적으로 모두 지워짐.
복구 프로그램을 이용해 해당 폴더에서 삭제한 파일 목록을 얻으면 어떤 프로그램을 어떻게 사용했는지 알 수 있음.

2-7. 웹: 즐겨찾기 (Favorites)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\Favorites
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\Favorites

IE 즐겨찾기 및 Favicon정보를 담고있는 경로

2-8. 웹: 쿠키 (Cookies)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\Cookies
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\AppData\Roaming\Microsoft\Windows\Cookies

Win Vista~: Cookies 하위에 Low 폴더 추가됨 (Low Integrity Process 실행 시 저장되는 위치; 히스토리, 임시 인터넷 폴더에도 존재)

2-9. 웹: 히스토리 (History)

운영체제	경로
Windows XP	[USR_PROFILE_DIR]\<username>\Local Settings\History
Windows Vista / 7 / 8 / 10 / 11	[USR_PROFILE_DIR]\<username>\AppData\Roaming\Microsoft\Windows\History

Win Vista~: Cookies 하위에 Low 폴더 추가됨 (Low Integrity Process 실행 시 저장되는 위치)
하위 폴더 별 역할
- History.IE5: IE5 이후 모든 버전에 대한 히스토리 정보 저장
- Low: Low Integrity Process를 통해 실행된 웹 히스토리 정보 저장

3. 폴더별 상세내용

4. 참고 (출처)

http://forensic-proof.com/archives/1834

윈도우 폴더 구조 (Windows Folder Structure) | FORENSIC-PROOF

forensic-proof.com

https://jjinfotech.tistory.com/57

주요 Windows Artifacts(시스템 폴더 구조)

Windows 시스템은 출시된 버전에 따라 폴더의 이름과 구조가 조금씩 다른 부분도 있지만 호환성을 위해 대부분 유사한 형태를 보이고 있다. 디지털 포렌식을 위해 Windows 폴더들의 구조와 각 폴더

jjinfotech.tistory.com