저장매체의 용량이 커지고 컴퓨터에 저장하는 파일의 수가 많아짐에 따라 파일을 검색하는데 걸리는 시간이 많아졌다. 단순히 사용자의 기억에 의존하여 찾아내야 하거나, 공용 네트워크 드라이브에서 특정한 파일을 찾아야 한다면 시행착오를 거칠 수밖에 없다. 이에 Windows 파일 탐색기에서는 정규 표현식 기능을 제공하지만, 사용자에 대한 편의성과 빠른 검색이 가능한 검색 유틸리티인 Everything이 많이 사용되고 있다. Everything은 시스템에 연결된 저장매체를 대상으로 파일명, 저장경로, 수정 시각과 같은 파일시스템 메타데이터를 색인하여 파일로 저장하고, 사용자가 검색한 문자열이나 검색 결과에 대한 정보를 기록한다. 이에 본 논문은 Everything이 저널의 변화를 감지하여 실시간으로... 더보기

저장매체의 용량이 커지고 컴퓨터에 저장하는 파일의 수가 많아짐에 따라 파일을 검색하는데 걸리는 시간이 많아졌다. 단순히 사용자의 기억에 의존하여 찾아내야 하거나, 공용 네트워크 드라이브에서 특정한 파일을 찾아야 한다면 시행착오를 거칠 수밖에 없다. 이에 Windows 파일 탐색기에서는 정규 표현식 기능을 제공하지만, 사용자에 대한 편의성과 빠른 검색이 가능한 검색 유틸리티인 Everything이 많이 사용되고 있다. Everything은 시스템에 연결된 저장매체를 대상으로 파일명, 저장경로, 수정 시각과 같은 파일시스템 메타데이터를 색인하여 파일로 저장하고, 사용자가 검색한 문자열이나 검색 결과에 대한 정보를 기록한다. 이에 본 논문은 Everything이 저널의 변화를 감지하여 실시간으로 파일을 색인하는 과정을 확인하였으며, 색인 결과가 저장되는 Everything.db 파일의 내용이 갱신되는 시점을 파악하여 Everything을 사용한 흔적을 최대로 확보할 수 있는 획득 절차를 제시하였다. 또한, Everything이 생성한 아티팩트를 조사함으로써, 삭제된 파일의 저장 여부 및 존재 시점, 볼륨 GUID 또는 드라이브 문자 및 네트워크 드라이브 IP와 같은 볼륨에 대한 정보, 검색기록 및 실행파일을 동작시킨 횟수는 디지털 포렌식 조사에서 유용하게 활용할 수 있을 것이다. 줄이기

In this paper, we design and demonstrate a process for securing traces left behind by Everything, a common search utility alternative to Windows File Explorer based on fast search functions. These traces reveal valuable information about artifacts created by Everything such as whether and when deleted files are stored, information of volumes (e.g. volume GUID, drive letter, and network drive IP address), search history, and the opening and executing counts of files and folders. All of these data are useful for digital forensic investigation. We found that Everything mirrors changes in files or folders in real-time by monitoring NTFS journals. Everything maintains an index of filesy... 더보기

In this paper, we design and demonstrate a process for securing traces left behind by Everything, a common search utility alternative to Windows File Explorer based on fast search functions. These traces reveal valuable information about artifacts created by Everything such as whether and when deleted files are stored, information of volumes (e.g. volume GUID, drive letter, and network drive IP address), search history, and the opening and executing counts of files and folders. All of these data are useful for digital forensic investigation. We found that Everything mirrors changes in files or folders in real-time by monitoring NTFS journals. Everything maintains an index of filesystem metadata (e.g. file name and modification time) for connected NTFS and ReFS volumes, in addition to recording information about the search string or search results by the users. Everything updates the index according to NTFS change journal, which allows us to detect index changes by monitoring the journal. 줄이기