본문 바로가기

포렌식22

Windows Timeline 개념 및 실습 [Windows Timeline] Windows에서 지원하는 Timeline 기능으로 사용자가 실행하고 있는 응용 프로그램, 사용자가 과거에 실행했던 응용 프로그램을 확인할 수 있다. 최대 30일의 사용자 행위를 보관한다. Timeline 기능을 통해 시간에 따른 사용자의 행위를 추적할 수 있고, 응용 프로그램의 구체적인 사용 시각을 알 수 있다. Timeline은 Windows + Tab 버튼을 눌러 확인할 수 있다. 설정\개인 정보 및 보안\활동 기록에서 ‘이 장치에 내 활동 기록 저장’ 설정을 통해 설정을 활성화할 수 있다. Timeline은 Windows 10에서 2018년부터 추가된 기능이지만 Windows 11에서는 지원이 중단되었다. 하지만 동일한 경로에서 데이터가 생성되며, 설정\개인 정보.. 2022. 7. 29.
ThumbnailCache & IconCache 개념 및 실습 [ThumbnailCache] 썸네일(Thumbnail)은 미리보기 파일을 의미한다. Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있다. ThumbnailCache는 분석 대상 PC에 해당 파일이 존재하였음을 나타낸다. 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않는다. ThumbnailCache의 경로는 아래와 같다. %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 해당 경로에 들어가면 "thumbcache_{크기}.db" 형식의 ThumbnailCache를 확인할 수 있다. [IconCache] Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시를 말한다. 일반적인 폴더나 파일은 공통의 아이콘을 사용하.. 2022. 7. 29.
브라우저 아티팩트 개념 및 실습 [Web Browser Artifacts] Web Browser는 Chrome, Edge, Whale 등과 같이 인터넷을 이용하기 위해 실행하는 응용 프로그램을 말한다. Web Browser Artifacts에서 Web Browser의 데이터를 확인할 수 있는데 확인할 수 있는 데이터의 종류는 아래와 같다. History: 방문한 URL, 방문 횟수, 방문 시각 등 Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등 Cookie: 사용자 데이터, 자동 로그인 등 Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등 [Practice] 브라우저별 경로는 아래와 같다. Chrome: %UserProfile%\AppData\Local\Google\Chrom.. 2022. 7. 28.
MUICache, AmCache, ShimCache 개념 및 실습 [MUICache] MUI(Multilingual User Interface)로 Windows에서 다중 언어를 지원하기 위해 존재하는 캐시이다. 실행 파일 별로 유저 언어(한국어) 이름을 별도로 저장하고 있다. 응용 프로그램을 실행하면 캐시에 실행 파일 경로, 이름 등의 기록이 남는다. 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않는다. [MUICache Practice] MUICache의 경로는 아래와 같다. HKCU\Software\Classes\Local Settings\MuiCache HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 지원이 안 되는 경우에는 그대로 영어인 상태로 남아있.. 2022. 7. 28.
Prefetch 개념 및 실습 [Prefetch] 응용 프로그램의 빠른 실행을 위해서 존재하는 파일로 응용 프로그램을 실행할 때에 생성한다. 실행 파일 이름, 실행 파일 경로, 실행 파일의 실행 횟수, 실행 파일의 마지막 실행 시간, 실행 파일의 최초 실행 시간 등을 알 수 있다. [Practice] %SystemRoot%\Prefetch 경로에서 Prefetch를 확인할 수 있다. Prefetch를 분석하기 위해 WinPrefetchView를 다운로드한다. https://www.nirsoft.net/utils/win_prefetch_view.html View the content of Windows Prefetch (.pf) files WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir So.. 2022. 7. 28.
Jumplist 개념 및 실습 [Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다. 경로는 아래와 같다. %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations [Practice] FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\AppData\Roaming\.. 2022. 7. 28.

티스토리툴바