본문 바로가기

전체 글125

Event Logs 개념 및 실습 [Event Logs] 로그란 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것을 말한다. 이벤트 로그(Event Logs)는 Windows 운영체제에서 시스템의 로그를 남기는 방식으로 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있다. 이벤트 로그에는 시스템 로그, 응용 프로그램 로그, 보안 로그 등이 존재한다. 이벤트 로그에는 응용 프로그램 로그, 보안 로그, Setup 로그, 시스템 로그, 응용 프로그램 및 서비스 로그 등이 존재한다. 각각에 대한 설명은 아래와 같다. 응용 프로그램 로그: 데이터베이스 오류나 AV 로그와 같이 시스템 구성 요소를 제외한 응용 프로그램에서 발생한 이벤트 기록을 말한다. 기록할 이벤트 유형은 응용 프로그램 개발자가 결정한다. 보안 로그: 파일 만들기, 열기.. 2022. 7. 29.
Windows Timeline 개념 및 실습 [Windows Timeline] Windows에서 지원하는 Timeline 기능으로 사용자가 실행하고 있는 응용 프로그램, 사용자가 과거에 실행했던 응용 프로그램을 확인할 수 있다. 최대 30일의 사용자 행위를 보관한다. Timeline 기능을 통해 시간에 따른 사용자의 행위를 추적할 수 있고, 응용 프로그램의 구체적인 사용 시각을 알 수 있다. Timeline은 Windows + Tab 버튼을 눌러 확인할 수 있다. 설정\개인 정보 및 보안\활동 기록에서 ‘이 장치에 내 활동 기록 저장’ 설정을 통해 설정을 활성화할 수 있다. Timeline은 Windows 10에서 2018년부터 추가된 기능이지만 Windows 11에서는 지원이 중단되었다. 하지만 동일한 경로에서 데이터가 생성되며, 설정\개인 정보.. 2022. 7. 29.
ThumbnailCache & IconCache 개념 및 실습 [ThumbnailCache] 썸네일(Thumbnail)은 미리보기 파일을 의미한다. Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있다. ThumbnailCache는 분석 대상 PC에 해당 파일이 존재하였음을 나타낸다. 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않는다. ThumbnailCache의 경로는 아래와 같다. %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 해당 경로에 들어가면 "thumbcache_{크기}.db" 형식의 ThumbnailCache를 확인할 수 있다. [IconCache] Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시를 말한다. 일반적인 폴더나 파일은 공통의 아이콘을 사용하.. 2022. 7. 29.
브라우저 아티팩트 개념 및 실습 [Web Browser Artifacts] Web Browser는 Chrome, Edge, Whale 등과 같이 인터넷을 이용하기 위해 실행하는 응용 프로그램을 말한다. Web Browser Artifacts에서 Web Browser의 데이터를 확인할 수 있는데 확인할 수 있는 데이터의 종류는 아래와 같다. History: 방문한 URL, 방문 횟수, 방문 시각 등 Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등 Cookie: 사용자 데이터, 자동 로그인 등 Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등 [Practice] 브라우저별 경로는 아래와 같다. Chrome: %UserProfile%\AppData\Local\Google\Chrom.. 2022. 7. 28.
MUICache, AmCache, ShimCache 개념 및 실습 [MUICache] MUI(Multilingual User Interface)로 Windows에서 다중 언어를 지원하기 위해 존재하는 캐시이다. 실행 파일 별로 유저 언어(한국어) 이름을 별도로 저장하고 있다. 응용 프로그램을 실행하면 캐시에 실행 파일 경로, 이름 등의 기록이 남는다. 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않는다. [MUICache Practice] MUICache의 경로는 아래와 같다. HKCU\Software\Classes\Local Settings\MuiCache HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 지원이 안 되는 경우에는 그대로 영어인 상태로 남아있.. 2022. 7. 28.
Prefetch 개념 및 실습 [Prefetch] 응용 프로그램의 빠른 실행을 위해서 존재하는 파일로 응용 프로그램을 실행할 때에 생성한다. 실행 파일 이름, 실행 파일 경로, 실행 파일의 실행 횟수, 실행 파일의 마지막 실행 시간, 실행 파일의 최초 실행 시간 등을 알 수 있다. [Practice] %SystemRoot%\Prefetch 경로에서 Prefetch를 확인할 수 있다. Prefetch를 분석하기 위해 WinPrefetchView를 다운로드한다. https://www.nirsoft.net/utils/win_prefetch_view.html View the content of Windows Prefetch (.pf) files WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir So.. 2022. 7. 28.

티스토리툴바