반응형
- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* Spool
- Windows에서 프린터 인쇄 명령 시, 출력물에 대한 데이터가 프린터로 전송
- 프린터에 내장된 Buffer는 크기가 작아, 출력물들의 적체 현상을 방지하기 위해 PC에 출력물에 대한 정보를 담은 임시 파일을 생성
- 해당 과정이 Spool이며, 이 과정에서 생성된 임시 파일이 Spool 파일이며 아래와 같이 분류됨
(스풀 방식과 관련 없이 1개의 인쇄 명령마다 아래 파일 각각 1개씩 생성되는 방식)
| .SHD | - 소유자 - 문서명 - 프린터명 - 컴퓨터명 - 파일 크기 등의 정보 저장 |
| .SPL | - Raw 및 EMF 형식의 파일에 해당하는 확장자 (개별 설정에 따라 저장 확장자가 다름) * Raw : 프린트 하려는 데이터를 원시 데이터로 전달하는 형식 * EMF : 프린트 하려는 데이터를 EMF(microsoft Enhanced MetaFile) 형식으로 변환하여 전달 - 파일명 - 포트 정보 (네트워크 프린터의 경우 IP 정보) - 기타 부가 정보 다수 저장 |
- 저장 경로는 모두 '\%System Root%\System32\Spool\PRINTERS\'에 저장됨
- SPL 파일은 Extract 해서 파일로 저장 시, 혹시나 압축 형식이라면 .zip으로 확장자를 변경 후 내용의 확인이 가능함
* EMF 포맷 확인 방식
- SPL 파일 중 EMF 포맷이라면 파일의 Hex 값을 확인 및 수정하여 내용의 확인이 가능하다
- EMF 포맷은 Hex Signature가 '01 00 00 00'인 부분이 시작 부분이며, 앞의 불필요한 Hex 값을 모두 지운 후, 그림판에 Upload 해보면 이미지 자체를 확인할 수 있다
반응형
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] Jump List (0) | 2024.09.26 |
|---|---|
| [Digital Forensic] 네트워크 정보 확인 (0) | 2024.09.26 |
| [Digital Forensic] Email 정보 확인 (0) | 2024.09.24 |
| [Digital Forensic] FTP 사용 흔적 (2) | 2024.09.24 |
| [Digital Forensic] EXIF 정보 확인 (0) | 2024.09.23 |
