<Prefetch>
응용프로그램를 실행할때 속도를 향상시키기 위해 사용되는 파일
- 시스템에서 실행된 응용프로그램을 분석가능
- 프로그램 실행 횟수, 마지막 실행시간, 로드한 파일 목록 확인 가능
C:₩Windows₩Prefetch
WinPrefetchView프로그램을 이용하여 Prefetch파일을 확인 가능
(FTK에서 Export했을 경우 Options-Advanced Options에서 Export한 Prefetch 파일의 경로를 설정)
<AmCache>
프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일
응용프로그램의 실행 정보 저장
응용프로그램의 실행경로, 최초 실행시간, 삭제시간 정보 등 저장
프로그램의 전체적인 타임라인 구성 가능
- 안티 포렌식 프로그램, 외부저장장치 흔적 추적
- 파일의 최초 실행시간, 삭제시간 확인
C:₩Windows₩appcompat₩Programs₩AmCache.hve
AmcacheParser.exe 를 이용하여 분석한다.
AmcacheParser.exe -f Amcache.hve --csv ./
=>
UnassociatedFileEntries.csv를 중점적으로 본다
<Event Log>
시스템 운용과정에서 발생하는 특정 이벤트를 전반적으로 기록한 데이터
시스템 부팅, 종료시간을 비롯하여 외부 저장장치 연결, 네트워크 정보 등 다양한 정보 획득 가능
저장하는 정보에 따라 별개의 .evtx 파일로 저장
각각의 이벤트들은 정보에 따라 Event Id 로 구분
C:₩Windows₩System32₩winevt₩Logs
System.evtx 파일에서는 컴퓨터의 부팅정보를 확인 가능
Event ID 6005 : 부팅 시 기록
Event ID 6006 : 종료시 기록
Event ID 6008 : 비정상적인 종료 시 기록
<USB Log>
Event ID : 2010
프로세스가 장치에 대한 드리이버 로그
C:₩Windows₩System32₩winevt₩Logs₩Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
C:₩Windows₩inf₩Setupapi.dev.log
=> 최초 연결 기록 확인 가능
HKLM₩SYSTEM₩ControlSet00#₩Enum₩USBSTOR
HKLM₩System₩MountedDevices
<PowerShell Log>
파워쉘에서 입력된 명령어 확인 가능
%UserProfile%₩AppData₩Roaming₩Microsoft₩Windows₩PowerShell₩PSReadline₩ConsoleHost_history.txt
<Web browser Log>
BrowsingHistoryView프로그램를 사용하여 Histroy 파일에서 웹 브라우저 방문 기록 확인 가능
₩Users₩%UserProfile%₩AppData₩Local₩Google₩Chrome₩User Data₩Default₩Cache
₩Users₩%UserProfile%₩AppData₩Local₩Google₩Chrome₩User Data₩Default₩History
₩Users₩%UserProfile%₩AppData₩Local₩Microsoft₩Edge₩User Data₩Default₩Cache
캐시파일
- 프로그램을 다시 사용하려는 가정하에 임시정보가 존재
- 소프트웨어가 원본데이터를 찾는데 걸리는 시간보다 빠르게 정보를 로드가 가능
- ChromeCacheView, WEFA와 같은 프로그램으로 분석 가능
<Windows 10 Timeline DB>
- 실행 중인 현재 응용프로그램과 과거의 활동을 기록하는 파일
- 파일이 언제 실행되었고 몇 초 동안 실행되었는지 분석가능
Users₩<profile>₩AppData₩Local₩ConnectedDevicesPlatform₩L.<UserName>₩ActivitiesCache.db
WxTCmd.exe -f ActivitiesCache.db --csv .
<FileSystem Log>
$MFT : 파일시스템 내부의 각 파일 속성 정보를 포함하는 NTFS 파일 시스템릐 핵심 메타 파일
(Root₩$MFT)
$LogFile : NTFS 트랜잭션 로그 파일이라 불리며, 모든 트랜잭션 작업을 레코드 단위로 제공
(Root₩$LogFile)
$UsnJrnl : 파일 변경 이벤트 관리 로그 파일, 응용프로그램이 특정 파일의 변경 여부를 파악하기 위해 사용
(Root₩$Extend₩$UsnJrnl)
추출 후 NTFS Log Tracker 프로그램을 사용해서 분석 가능
'STUDY > Forensic' 카테고리의 다른 글
| ADS (0) | 2021.11.17 |
|---|---|
| 윈도우 아티펙트 (2) | 2021.11.10 |
| FAT32 BR, 백업 없는 경우 (0) | 2021.10.20 |
| NTFS File Recovery (0) | 2020.08.04 |
| NTFS File System - VBR (0) | 2020.07.20 |