[Windows Timeline]
Windows에서 지원하는 Timeline 기능으로 사용자가 실행하고 있는 응용 프로그램, 사용자가 과거에 실행했던 응용 프로그램을 확인할 수 있다. 최대 30일의 사용자 행위를 보관한다.
Timeline 기능을 통해 시간에 따른 사용자의 행위를 추적할 수 있고, 응용 프로그램의 구체적인 사용 시각을 알 수 있다. Timeline은 Windows + Tab 버튼을 눌러 확인할 수 있다.
설정\개인 정보 및 보안\활동 기록에서 ‘이 장치에 내 활동 기록 저장’ 설정을 통해 설정을 활성화할 수 있다.
Timeline은 Windows 10에서 2018년부터 추가된 기능이지만 Windows 11에서는 지원이 중단되었다. 하지만 동일한 경로에서 데이터가 생성되며, 설정\개인 정보 및 보안에 활동 기록 메뉴 역시 그대로 존재하는 것을 확인할 수 있다.
Timeline 데이터 저장 경로는 사용자 계정에 따라 경로가 달라진다. 로컬 계정은 L.{로컬 계정명}을 사용하고, 마이크로소프트 계정은 {마이크로소프트 식별자(CID)}를 사용한다. Office 365 & AAD 계정은 AAD.{보안 식별자(SID)}를 사용한다.
최종적인 Timeline 데이터 저장 경로는 아래와 같다.
%UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db
[Practice]
C:\Users\shsh0\AppData\Local\ConnectedDevicesPlatform\AAD.ab44abd9-d7c2-4f72-bf67-f0ecf6563991에서 ActivitiesCache.db를 확인할 수 있다. 해당 파일을 보기 위해 DB Browser for SQLite를 다운로드한다.
https://sqlitebrowser.org/blog/version-3-12-2-released
Version 3.12.2 released - DB Browser for SQLite
This is a minor maintenance release, primarily to update the internal certificates for anonymous communication with the DBHub.io servers. You don’t need to upgrade unless you’re using DBHub.io anonymously. If you’re using DBHub.io with your own clien
sqlitebrowser.org
ActivitiesCache.db는 Activity, ActivityOperation, Activity_PackageId로 구성되어 있는데 각각에 대한 설명은 아래와 같다.
Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
Activity_PackageId: 앱별 패키지 이름
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| VSS(Volume Shadow Copy Service) 개념 및 실습 (0) | 2022.07.29 |
|---|---|
| Event Logs 개념 및 실습 (0) | 2022.07.29 |
| ThumbnailCache & IconCache 개념 및 실습 (0) | 2022.07.29 |
| 브라우저 아티팩트 개념 및 실습 (0) | 2022.07.28 |
| MUICache, AmCache, ShimCache 개념 및 실습 (0) | 2022.07.28 |
