1
윈도우 폴더 구조 (Windows Folder Structure)

윈도우 운영체제(XP, Vista, 7)을 대상으로 포렌식적으로 관심을 가져야 할 폴더에 대해서 살펴볼 것이다. 단순히 폴더에 대해 나열하는 수준이므로 세부적인 내용은 이전 글이나 이후 글을 참고하자.

 
1. 시스템 폴더

운영체제사용자 프로필 폴더기본 시스템 폴더
Windows 9x/MeNoC:\Windows
Windows NTC:\WINNT\ProfilesC:\WINNT
Windows 2KC:\Documents and SettingsC:\WINNT
Windows XPC:\Documents and SettingsC:\Windows
Windows Vista/7/8C:\UsersC:\Windows

각 운영체제에 따른 사용자 프로필 폴더와 기본 시스템 폴더이다. 윈도우 9x 시절에는 사용자 프로필 폴더가 따로 존재하지 않았다. 이유는 이전에는 윈도우 운영체제가 개인 사용자 용이었기 때문이다. 윈도우 NT 이후 다중 사용자 운영체제로 바뀌면서 사용자들의 프로필을 모아둘 폴더가 필요했던 것이다. 윈도우 NT 이전은 논의하지 않더라도 특별한 변경사항은 XP에서 Vista/7으로 넘어오면서 사용자 프로필 폴더가 “Users”라는 폴더이름으로 변경된 것이다. 사용자 입장에서 좀 더 직관적으로 변했다고 할 수 있다. “Documents and Settings” 라는 이름은 해당 경로의 내용이 정확히 들어오지 않을 뿐더러 불필요하게 길고 공백도 포함하고 있었기 때문이다.

하지만 내부적으로 “Documents and Settings” 라는 폴더가 사라진 것은 아니다. 볼륨을 포렌식 도구에 마운트시켜본 사람이라면 쉽게 이것을 확인했을 것이다. 다음은 WinHex를 통해 “Documents and Settings” 폴더를 살펴본 것이다. 그림과 같이 “Reparse Point”를 통해 “C:\Users” 폴더를 가리키고 있다. 아마도 기존 버전과의 호환성을 위해 존재할 것이다. “Reparse Point”는 설명하면 복잡해질 수 있지만 쉽게 리눅스의 심볼릭 링크(소프트링크) 라고 생각하자.

 
2. 휴지통(Recycle Bin)
윈도우의 휴지통 기능을 모르는 사람은 없을 것이다. 휴지통을 거치지 않고 파일을 바로 삭제할 수도 있지만 대부분 휴지통 기능을 적극 활용하고 있을 것이다. 휴지통은 파일이 삭제되기 전에 거쳐가는 곳이므로 휴지통의 흔적을 분석하면 포렌식적으로 유용한 정보를 획득할 수 있다. 휴지통과 관련한 분석은 이전 글을 참고하자. 다음은 운영체제별 휴지통 폴더의 경로이다.

운영체제휴지통 경로
Windows 9x/Me<volume>:\Recycled
Windows NT/2K/XP<volume>:\Recycler\<USER SID>
Windows Vista/7/8<volume>:\$Recycle.Bin\<USER SID>

 
3. 최근 접근 문서(Recent) 폴더
최근 접근 문서 폴더는 사용자가 최근에 접근한 문서에 대한 링크(LNK) 파일을 저장하고 있는 폴더이다. 링크 파일에 대한 포렌식적인 중요성은 궂이 설명하지 않아도 알 것이다. 다음은 운영체제별 최근 접근 문서 폴더 경로이다.

운영체제최근 접근 문서 폴더 경로
Windows XPC:\Documents and Settings\<username>\Recent
Windows Vista/7/8C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent

 
4. 바탕화면(Desktop) 폴더
윈도우 운영체제를 사용해본 사람이라면 바탕화면의 중요성을 알 수 있을 것이다. 나는 보통 바탕화면이 지저분한 것을 싫어하여 바탕화면에 기본 폴더 이외에는 두지 않지만 많은 사람들이 바탕화면에 현재 작업하는 혹은 자주 사용하는 파일을 옮겨두고 작업을 한다. 바탕화면에 있는 파일이라는 것은 현재 사용자가 많이 접근하는 폴더나 파일일 것이므로 중요한 파일이라고 볼수도 있을 것이다. 다음은 운영체제별 바탕화면 경로이다.

운영체제바탕화면 경로
Windows XPC:\Documents and Settings\<username>\Desktop
Windows Vista/7/8C:\Users\<username>\Desktop

 
5. 내 문서(Documents) 폴더
내 문서 폴더는 윈도우 작업 중 파일 저장의 기본 폴더로 활용되므로 사용자와 관련한 많은 정보를 획득할 수 있다. 다음은 운영체제별 내 문서 폴더의 경로이다. 윈도우 Vista/7의 경우에는 이전 버전과의 호환성을 위해 “My Documents” 라는 폴더도 존재한다. 해당 폴더는 “Reparse Point”로 “Documents” 폴더가 지정되어 있다.

운영체제내 문서 폴더 경로
Windows XPC:\Documents and Settings\<username>\My Documents
Windows Vista/7C:\Users\<username>\Documents

 
6. 보내기(Send To) 폴더
보내기 폴더는 윈도우 사용자에게 편의성을 제공하기 위한 목적으로 존재하는 폴더이다. 파일이나 폴더에 모두 적용되며 바탕화면 바로가기 생성이나 내 문서로 이동, 압축, 이메일 보내기 등의 기능을 지원한다. 이 기능은 특정 프로그램 설치시 자동으로 추가되기도 하며 사용자가 임의로 추가할 수도 있다.

보내기 폴더에 특정 프로그램이 포함되어 있다면 해당 프로그램이 설치되었다는 것을 의미하며 사용자가 임의로 추가했다면 자주 사용하는 프로그램이라고 유추해볼 수 있을 것이다. 또한, 보내기 기능은 사용자에게 편의성을 주지만 일반적으로는 직접 설정해 사용하는 경우는 드물다. 만약, 어떤 사용자가 보내기 기능을 주로 사용했다면 해당 사용자의 컴퓨터 스킬 및 성향도 유추해 볼 수 있을 것이다. 다음은 운영체제별 보내기 폴더의 경로이다.

운영체제보내기 폴더 경로
Windows XPC:\Documents and Settings\<username>\SendTo
Windows Vista/7C:\Users\<username>\AppData\Roadming\Microsoft\Windows\SendTo

 
7. 임시(Temp) 폴더
임시 폴더는 프로그램 설치나 제거 시 임시적으로 사용하는 파일을 위해 사용된다. 제대로 작성된 프로그램이라면 프로그램 설치/삭제 후 해당 임시 폴더의 관련 파일도 모두 지워야 하지만 의외로 많은 내용이 지워지지 않고 남아 있는 경우가 많다. 그리고 삭제를 하더라도 복구 프로그램을 이용해 해당 폴더에서 삭제한 파일 목록을 얻게 되면 어떤 프로그램을 사용했는지에 대한 정보도 얻을 수 있다. 다음은 운영체제별 임시 폴더의 경로이다.

운영체제임시 폴더 경로
Windows XPC:\Documents and Settings\<username>\Local Settings\Temp
Windows Vista/7C:\Users\<username>\AppData\Local\Temp

 
8. 즐겨찾기(Favorites) 폴더
즐겨찾기 폴더는 인터넷 익스플로러(Internet Explorer)의 즐겨찾기 정보를 Shortcut 파일로 저장하고 있다. 즐겨찾기 URL 뿐만아니라 파비콘(Favicon) 정보도 ADS(Alternate Data Stream)에 저장되어 있다. 다음은 운영체제별 즐겨찾기 폴더의 경로이다.

운영체제임시 폴더 경로
Windows XPC:\Documents and Settings\<username>\Favorites
Windows Vista/7C:\Users\<username>\Favorites

 
9. 쿠키(Cookies) 폴더
웹 사이트 방문 시 저장되는 쿠키 정보도 특정 폴더에 저장된다. 기본적으로 쿠키 내용으로도 정보를 얻을 수 있겠지만 index.dat 파일을 활용하면 쿠키 파일의 마지막 수정 시간과 만료 시간을 추가적으로 얻을 수 있다. 게다가 파일의 생성 시간과 마지막 접근 시간을 조합하면 사용자의 사이트 방문 시점을 유추해볼 수도 있다. Vista/7으로 넘어오면서 쿠키 폴더를 확인해보면 하위 폴더로 “Low” 폴더가 추가적으로 존재한다.

“Low” 폴더는 운영체제와 관련이 있기 보다는 IE의 버전과 관계가 있다. IE 7부터 IE 동작 모드에 보호 모드(Protected mode)가 추가되었다. Vista/7에서는 기본적으로 보호 모드가 활성화되어 있다. 보호 모드는 악의적인 공격으로부터 시스템을 보호하기 위해 IE 프로세스에게 매우 제한적인 권한만 부여하여 실행시키는 것이다.

보호 모드로 동작하는 프로세스는 “Low Integrity Process”로 사용자 프로필 폴더, 시스템 파일, 레지스트리에 쓰기 권한이 제한되고, “Low Integrity Mandatory Label”에 정의된 폴더, 파일 레지스트리 키에만 쓰기가 가능하다.  “Low” 폴더는 쿠키 이외에도 히스토리, 임시 인터넷 폴더에도 존재한다.

운영체제임시 폴더 경로
Windows XPC:\Documents and Settings\<username>\Cookies
Windows Vista/7C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies\[Low]

 
10. 히스토리(History) 폴더
히스토리 폴더에는 IE 사용시 사용자가 방문한 사이트를 저장하고 있다. 따라서, 사용자의 사이트 방문 흔적을 파악할 수 있다. 히스토리 경로로 이동해보면 “History.IE5″ 폴더가 존재한다. “IE5″는 원래 IE 5.x 버전을 의미하지만 폴더의 의미는IE 5.x 이후의 모든 버전을 의미한다. 따라서 해당 폴더 내용을 확인하면 각 날짜별 히스토리 정보를 확인할 수 있다.

히스토리 정보는 “MSHist”라는 접두어로 시작하여 각 시간 간격별로 폴더가 존재한다. 시간 간격을 해석해보면 오늘, 2일전, 3일전, 지난 주 등으로 폴더가 구분되어 있는 것을 확인할 수 있다. 히스토리 폴더 역시 보호모드에서 동작할 경우 하위의 “Low” 폴더에 정보를 저장한다. 결국, “History.IE5″ 폴더는 히스토리 폴더와 히스토리 폴더의 Low 폴더에도 공통으로 존재한다. 따라서, 웹 사이트 방문 흔적으로 조사한다면 두 폴더 모두 조사해야 할 것이다. 다음은 운영체제별 히스토리 폴더의 경로이다.

운영체제히스토리 폴더 경로
Windows XPC:\Documents and Settings\<username>\Local Settings\History
Windows Vista/7C:\Users\<username>\AppData\Local\Microsoft\Windows\History\[Low]

 
11. 임시 인터넷 파일(Temporary Internet Files) 폴더 
임시 인터넷 파일 폴더는 웹 사이트 방문시 다운 받는 파일들이 저장되어 있는 폴더이다. 해당 폴더를 분석하면 특정 사이트의 방문 흔적을 파악할 수 있다. 또한 파일 생성 시간 및 Index.dat 파일을 함께 분석하면 언제 방문했으며 어떤 행위를 했는지 유추가 가능하다. 기본적으로 임시 인터넷 파일들은 “Content.IE5″ 하위 폴더에 존재한다. 하위 폴더의 이름은 임의의 문자열로 기록되어 있다. 임시 인터넷 파일 폴더 또한 하위에 “Low” 폴더가 존재한다. 따라서, 해당 폴더를 조사할 경우 “Low” 폴더도 함께 조사되어야 한다. 다음은 운영체제별 임시 인터넷 파일 폴더 경로이다.

운영체제임시 인터넷 파일 폴더 경로
Windows XPC:\Documents and Settings\<username>\Local Settings\Temporary Internet Files
Windows Vista/7C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\[Low]

 
12. 페이지/스왑(Page/Swap) 파일 
페이지 파일은 제한된 물리메모리 상에서 각 프로세스 당 4GB의 가상 주소 공간을 유지시키기 위해 스왑 아웃(Swap out)된 메모리 페이지가 존재하는 파일이다. 따라서, 해당 파일을 분석하면 메모리 상에 존재했던 데이터를 찾을 수 있다. 페이지 파일의 구조에 대한 분석은 아직 미흡한 수준이지만 페이지 파일을 파일 카빙만 하여도 다량의 그래픽 파일과 문자열을 확인할 수 있다. 문자열에는 복호화된 문자열이나 복호화 키가 존재할 수도 있기 때문에 보통 사전 공격의 데이터로 많이 사용된다. 페이지 파일은 기본적으로 시스템을 종료해도 삭제되지 않고, 다시 부팅되었을 때 해당 파일에 관련 내용을 덮어쓰게 된다. 하지만 다음 레지스트리 값이 설정되어 있다면 시스템 종료시 페이지 파일을 삭제하게 된다. 이 경우에는 비할당영역으로 페이지 파일 내용이 이동되므로 비할당 영역을 대상으로 분석해야 할 것이다.

  • HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown

다음은 운영체제별 페이지 파일의 경로이다.

운영체제페이지 파일 경로
Windows XP/Vista/7C:\pagefile.sys

 
13. 하이버네이션(Hibernation) 파일
하이버네이션 기능은 절전 모드 시 최소한의 전력만 사용하기 위해 물리메모리의 내용을 파일로 저장하게 하는 기능이다. 다시 시스템을 동작시키면 재부팅 과정에서 저장된 하이버네이션 파일의 내용을 메모리로 읽어와 절전 모드 이전 상태로 시스템을 복원 시켜준다. 노트북 같은 경우에는 전력 소모를 아끼기 위해 보통 하이버네이션 기능이 기본적으로 활성화되어 있다. 하이버네이션 기능은 전원 옵션에서 설정할 수 있다.

하이버네이션 기능이 활성화되어 있는 경우 해당 파일 내용을 분석하면 메모리 상에 존재했던 많은 내용을 확인할 수 있다. 다음은 운영체제별 하이버네이션 파일 경로이다.

운영체제하이버네이션 파일 경로
Windows XP/Vista/7C:\hiberfil.sys

 
14. 프린터 스풀링(Spooling) 폴더
프린터 스풀링은 프린트 하기 위해 원본 파일을 변환하는 과정을 의미한다. 스풀링 작업된 스풀링 데이터는 큐(Queue)구조를 통해 프린터로 전송된다. 프린트 작업이 완료되면 스풀링 데이터는 삭제된다. 스풀링 모드는 데이터에 따라 다음과 같이 2가지 모드로 나눌 수 있다.

  • RAW 모드 : 프린트하고자 하는 데이터의 그래픽 덤프 파일을 스풀
  • EMF 모드 : 프린트하고자 하는 데이터를 EMF 파일로 변환한 후 스풀

스풀링 데이터는 각 모드에 따라 생성된 파일이 로컬 시스템에 저장된 후 프린터로 전송되므로 스풀링 데이터가 저장되는 폴더를 조사하면 사용자가 프린트한 데이터를 확인할 수 있다. 물론, 프린트 작업이 끝나면 파일이 자동 삭제되기는 하지만 덮어쓰이지만 않았다면 복구 도구를 이용해 쉽게 복구해 낼 수 있다. 기본 스풀 폴더는 다음의 레지스트리 값을 통해 알 수 있다.

  • HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Print\Printers\DefaultSpoolDirectory

다음은 운영체제별 기본 프린터 스풀 데이터 저장 폴더 경로이다.

운영체제프린터 스풀링 폴더 경로
Windows XP/Vista/7C:\Windows\system32\spool\printers

 
15. 시스템 복원 지점과 VSS(Volume Shadow Copy) 폴더
윈도우 ME 이후부터는 시스템 복원 기능이 존재하며 기본적으로 활성화 되어 있다. 시스템 복원 기능은 시스템 보호를 위해 정기적으로 복원 지점을 만들고 저장한 후, 시스템이 정상적으로 동작하지 않을 경우 복원 지점을 이용해 이전 상태로 시스템 파일과 레지스트리 값을 되돌리게 된다. 기본적으로 복원되는 항목은 레지스트리, COM+ DB, WFP.dll Cache, WMI DB, ISS Metabase, filelist.xml 파일의 <include> 부분에 확장자가 포함된 파일이다. 윈도우 Vista 부터는 복원 지점과 백업 기능을 결합한 VSS(Volume Shadow Copy)를 이용해 시스템 복원을 수행한다. 시스템 복원 설정은 “시스템 정보”의 “시스템 복원” 탭을 통해 설정 가능하다.

XP의 시스템 복원 지점 구조와 Vista 이후에 VSS는 구조는 전혀 다르기 때문에 각각 별도의 분석 방법이 사용되어야 한다. 하지만, 시스템 복원 정보를 저장하는 폴더는 동일하다. 다음은 시스템 복원 정보를 저장하는 폴더 경로이다.

운영체제시스템 복원 지점 폴더 경로
Windows XP/Vista/7C:\System Volume Information

 
16. 이벤트 로그
윈도우에서는 보안 정책에 따라 이벤트 로그가 생성된다. XP에서는 기본 이벤트 로그만 존재하였지만 Vista 이후부터 확장되어 설정에 따라 50개 이상의 이벤트 로그 항목이 저장된다. 이벤트 로그는 온라인 상에서는 윈도우의 이벤트 뷰어를 통해 분석이 가능하고, 오프라인 상에서는 별도의 이벤트 로그 분석 도구를 활용할 수 있다. 다음은 운영체제별 이벤트 로그 폴더 경로이다.

운영체제시스템 복원 지점 폴더 경로
Windows XPC:\Windows\System32\config
Windows Vista/7C:\Windows\System32\winevt\logs

 
위 폴더는 윈도우 XP부터 이미 존재했던 폴더들이다. 이제는 Vista 이후로 추가된 폴더에 대해서 살펴볼 것이다.

 
17. 라이브러리(Libraries) 폴더
윈도우 7 이후부터 추가된 대표적인 기능이 라이브러리 폴더이다. 기본적으로 탐색기를 열게 되면 왼쪽 상단에 라이브러리 폴더가 표시된다.


라이브러리 폴더는 기본적으로 Documents, Music, Pictures, Videos가 존재하고, 사용자가 임의로 추가할 수 있다. 라이브러리 기능은 사용자가 자주 사용하는 파일들은 미리 인덱스하여 빠르게 찾기 위한 것이다. 라이브러리 추가는 해당 디렉터리에 새로운 디렉터리를 생성한 후 특정 디렉터리를 포함시켜도 되고, 추가하고자 하는 디렉터리를 우클릭한 후 라이브러리에 추가(Include in library) 기능을 이용하면 된다.

라이브러리에 추가되면 자동으로 인덱싱 된다. 인덱싱의 좋은 점은 탐색기 우측 상단의 검색(Search) 기능 사용 시 우선적으로 인덱싱된 정보에서 먼저 검색을 해 준다는 점이다. 인덱싱 되어 있기 때문에 필요한 내용이 바로 검색이 된다. 따라서, 라이브러리 기능을 제대로 활용하면 원하는 자료를 빠르게 검색할 수 있다. 나도 특정 폴더(문서 폴더 등)를 라이브러리에 추가하여 빠르게 검색하는데 사용하고 있다. 그리고 탐색기의 좌측 상단에서 바로 접근이 가능하기 때문에 자주 사용하는 폴더도 라이브러리에 추가해두면 편리하다. 포렌식 관점에서 라이브러리 폴더는 사용자가 자주 접근하거나 인덱싱을 필요로 하는 데이터라고 판단해 볼 수 있다. 특히, 기본적으로 제공되는 것이 아닌 사용자가 직접 추가한 폴더라면 더 중요한 의미를 갖는다. 라이브러리 관련 폴더는 다음과 같다.

운영체제라이브러리 설정 폴더 경로
Windows 7C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Libraries

폴더에는 추가된 라이브러리별로 <libraryname>.library-ms 파일이 존재한다. 해당 파일은 XML 파일 구조를 가진다.

다음은 Music.library-ms 파일의 내용이다.

파일을 열어보면 다양한 정보가 구조화되어 있지만 포렌식적으로 의미있는 정보는 <url> 태그이다. <url> 태그로 쌓여진 경로가 Music 라이브러리에 포함된 폴더들의 목록이다. 위 파일에서는 총 3개의 폴더가 Music 라이브러리에 포함되어 있다. 따라서, 시스템을 조사할 때 라이브러리 경로의 XML 파일에서 사용자가 라이브러리에 추가한 폴더를 확인할 수 있다.

 
18. Local/LocalLow/Roaming 폴더
윈도우 XP에서 Vista로 넘어오면서 중요하게 바뀐 폴더가 있다. 바로 XP의 “Local Settings” 폴더이다. Vista로 넘어오면서 “AppData\Local” 폴더로 해당 내용이 이동했다. 단순히 폴더 경로만 바뀐 것이 아니라 “AppData” 라는 폴더를 확인해보면 “Local” 폴더 이외에 “LocalLow”, “Roaming” 폴더가 추가적으로 존재하고 있다. 그렇다면 각 폴더의 의미는 무엇일까?

  • Local : 로컬에서만 사용되는 데이터나 데이터의 크기가 커서 로밍하기에 적합하지 않는 데이터가 저장된다.
  • LocalLow : “Low” 라는 이름에 맞게 로컬에서 사용되는 데이터 중  권한이 제한되는 “Low-integrity Applications”에 의해 사용되는 데이터가 저장된다.
  • Roaming : 사용자가 다른 컴퓨터에서 로그인할 때에도 사용자 관련 프로필을 이용할 수 있도록 로밍이 필요한 데이터들이 저장된다.

다음은 운영체제별 각 응용 데이터의 저장 경로이다.

운영체제로컬 데이터 저장 폴더
Windows XPC:\Documents and Settings\<username>\Local Settings\Application Data
Windows Vista/7C:\Users\<username>\AppData\Local
C:\Users\<username>\AppData\LocalLow
운영체제로밍 데이터 저장 폴더
Windows XPC:\Documents and Settings\<username>\Application Data
Windows Vista/7C:\Users\<username>\AppData\Roaming

 
19. 윈도우 검색과 통합 검색(Windows Search and Federated Search)
Vista로 넘어오면서 윈도우 검색에도  많은 변화가 있었다. 특히 윈도우 탐색기를 이용하여 앞서 살펴본 라이브러리와 같이 미리 인덱스를 생성해 두거나 사용자가 지정한 필터를 추가하거나 특정 도메인과 연결 가능한 통합 검색을 사용할 수 있다. 다음은 특별한 검색 쿼리가 지정된 파일이 존재하는 폴더이다. 해당 폴더에는 현재 Outlook과 연결된 검색 쿼리가 등록되어 있고, Outlook 데이터에서 인덱스된 정보와 그렇지 않은 정보로 검색할 수 있는 <searchname>.search-ms 파일이 존재한다. 고급 사용자라면 파일을 추가하여 자신이 원하는 검색 쿼리를 사용할 수도 있다.

이와 같은 고급 검색 쿼리 설정 외에 추가적으로 통합 검색(Federated Search)도 사용할 수 있다. 통합 검색은 윈도우 탐색기를 이용해 특정 사이트 내용을 검색할 수 있는 기능이다. 사이트에서 제공해주기도 하지만 사용자가 직접 만들어 볼 수도 있다. 텍스트 편집기를 열어서 다음과 같이 작성해보자.

1
2
3
4
<!--?xml version="1.0" encoding="UTF-8"?-->
 
    Google Blogs
    OpenSearch Google Blogs via Windows 7 Search.

위와 같이 작성한 후 Search Connector 파일인 “.osdx” 확장자로 저장을 하자. 저장된 파일을 클릭하면 다음과 같이 Search Connector에 추가할 것인지에 대한 대화상자 창이 나온다. “Add”를 클릭하면 검색 쿼리가 저장된 “C:\Users\<username>\Searches” 폴더에 추가한 Search Connector 파일이 생성된다. 추가한 파일을 이용하면 탐색기에서 구글 블로그의 내용 검색이 가능하다.

Search Connector를 이용한 검색은 사이트 방문 없이 탐색기를 이용해 검색이 가능한 장점이 있지만 설정하기 위해서는 관련 지식이 요구된다. 만약, 어떤 시스템에 사용자 정의 검색 쿼리가 다수 존재한다면 해당 사용자는 컴퓨터 고급 사용자라고 추정할만 하지 않을까?

 
20. 스티커 메모(Sticky Notes)
윈도우 7의 또 하나의 특징은 사용자 편의성을 위해 스티커 메모를 추가한 것이다. 윈도우 7 이전에는 메모를 위해 다양한 메모 관련 어플을 사용했었다. 윈도우 7에서는 이 기능을 기본으로 지원하고 있다. 일반 메모 어플에 비하면 너무도 간단한 기능이지만 단순 메모를 위한다면 스티커 메모를 사용해보는 것도 좋을 듯하다. 스티커 메모는 “시작 => 보조프로그램” 항목에 존재한다. 다음은 스티커 메모를 실행한 화면이다.

스티커 메모의 내용은 다음의 경로에 저장된다.

  • C:\Users\<username>\AppData\Roaming\Microsoft\Sticky Notes

위 그림과 같이 스티커 메모의 내용은 복합문서(Compound Document) 파일 형식으로 저장된다. CFX(Compound File Explorer)를 통해 복합문서 정보를 확인하면 다음과 같다. 복합문서의 스트림 형식으로 메모의 내용을 저장함을 알 수 있다.

일반적으로 메모는 중요한 약속이나 할일을 적어두는 만큼 만약 사용자가 스티커 메모를 활용했다면 중요한 정보를 획득할 가능성이 높다. 따라서, 위 스티커 메모의 기본 경로를 확인하거나 “.snt” 확장자를 가지는 파일을 검색해볼 필요가 있다.

이 게시물을

공유하기

번호
분류
제목
조회 수
688
조회 수: 4383
687
조회 수: 4999
조회 수: 4383

SEARCH