▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼
[지금 무료] 기초부터 따라하는 디지털포렌식 강의 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 '물 흐르듯, 자연스럽게' 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
ThumbnailCache
- 내 컴퓨터에 이런 기록들이 남나?
- 썸네일(Thumbnail): 미리보기 파일
- Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음.
- db에 썸네일을 크기별로 저장해 갖고 있게 됨.
- 다양한 형태의 썸네일을 지원.
- 포렌식적 의미
- 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
- 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음
- "Thumbcache Viewer"
IconCache
- Winodws 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시
- 공통의 아이콘을 사용(일반적인 폴더, 파일)
- 별도의 아이콘을 사용(응용 프로그램)
- Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함.
- 포렌식적 의미
- 분석 대상 PC에 존재했던 응용 프로그램의 종류를 확인 가능
- 외부저장매체 사용 흔적 파악
- 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
- 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음
Windows Timeline
- 새로 나온 기술. 데이터 아주 세세하게 남음.
- Windows에서 지원하는 Timeline 기능
- 사용자가 실행하고 있는 응용프로그램
- 사용자가 과거에 실행했던 응용프로그램
- 최대 30일의 사용자 행위를 보관
- Windows + Tab 버튼
- 설정 활성화
- '이 장치에 내 활동 기록 저장' 설정
- Timeline 데이터 저장 경로
- 유저 계정에 따라 경로가 달라짐
- 로컬 계정: L.{로컬 계정명}
- 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
- Office 365&AAD 계정: AAD.{보안 식별자(SID)}
- 유저 계정에 따라 경로가 달라짐
- ActivitesChace.db 구조
- 여러 테이블이 있지만, 아래 세 테이블만 주의깊게 보면 됨.
- Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
- ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
- Activity_PackageId: 앱별 패키지 이름
- Windows 10에서 2018년부터 추가된 기능
- Windows 11부터는 지원 중단
- 그러나, 동일한 경로에 데이터가 그대로 생성됨.
- 동작 아티팩트 구조가 조금 다를 수는 있어도, 유사한 데이터가 남는다.
- 포렌식적 의미
- 시간에 따른 사용자의 행위 추적
- 응용프로그램의 구체적은 사용 시각을 알 수 있음.
- 'DB Bowser for SQLite'
Q. Windows 10에서 2018년부터 추가된 기능 중에 활동 기록 메뉴는 사라졌다. (o/x)
A. X
Q. Windows Timeline은 최대 __일의 사용자 행위를 보관한다 (빈칸 채우기)
A. 30일
'SWUFORCE > 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식_08 (0) | 2024.07.19 |
|---|---|
| 디지털 포렌식_06 (0) | 2024.07.03 |
| 디지털 포렌식_05 (0) | 2024.05.21 |
| 디지털 포렌식_04 (0) | 2024.05.15 |
| 디지털 포렌식_03 (0) | 2024.05.07 |