프린트 스풀링

프린트 스풀링 Print Spooling

일부 수사에서는 용의자의 프린트 활동도 관련이 있을 수 있다. 프린트를 하는 것도 추적할 수 있는 흔적을 남긴다. 프린트 버튼을 클릭한 후에 실제 프린트되는 데 까지 시간이 있는데 그것은 스풀링(Spooling)이라는 프로세스를 실행하기 위해 시간이 더 소요되는 것이다. 스풀링은 프린터가 편리한 시간에 프린트를 할 수 있도록 임시로 프린트 작업을 저장한다. 스풀링을 할 때 윈도우는 두 개의 보조 파일을 생성한다. 하나는 Enhanced Meta File(EMF)로 프린트하는 문서의 이미지이고, 다른 하나는 스풀 파일로서 프린트 작업 자체에 대한 정보를 저장하고 있다.

모든 프린트 작업을 할 때 이 두 파일이 생성된다. 그러면 스풀 파일에서 복원할 수 있는 작업은 무엇일까? 스풀 파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등에 대해 알려준다. 이 파일들은 나중에 증거로 사용될 수도 있다. 하지만 문제는 이런 파일은 금방 삭제된다는 것이다. 프린트 작업이 끝나면 보통 자동으로 삭제된다. 하지만 예외인 경우가 몇 가지 있다.

첫 번째 예외 경우는 문제가 발생하여 문서가 프린트되지 않았을 경우다. 

두 번째는 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정되었을 수도 있다. 일부 회사에서는 프린트 복사본을 저장해야 할 수도 있는데, 그럴 때 이 설정을 사용할 수도 있다. 

스풀과 EMF 파일은 용의자를 특정 범죄에 연결하는 데 직접 사용될 수 있다. 이러한 파일에는 협박 편지, 위조된 계약서, 탈취한 고객 목록 등 잠재적 증거가 저장되어 잇을 수도 있다.

출처

• 이제 시작이야 디지털 포렌식