티스토리 뷰
1. 아티팩트란?
윈도우 운영체제에서는 사용자의 활동을 기록하고 관리하기 위해 다양한 아티팩트(Artifacts)를 저장합니다. 이러한 아티팩트는 사용자가 실행한 프로그램, 열어본 파일, 연결한 USB 장치 등의 정보를 포함하며, 디지털 포렌식에서 중요한 증거로 활용됩니다.
이번 블로그에서는 윈도우에서 생성되는 다양한 아티팩트와 그 분석 방법을 설명하고, 포렌식적 관점에서 어떻게 활용할 수 있는지를 살펴보겠습니다. 또한, 각 아티팩트를 분석할 수 있는 도구와 사용법도 함께 소개합니다.
2. 윈도우 아티팩트 종류
1). LNK 파일 (바로가기 파일)
1. 개요
LNK(Link) 파일은 Windows 운영 체제에서 특정 프로그램을 실행하거나 문서를 열었을 때 자동으로 생성되는 바로가기 파일입니다. 사용자가 직접 "바로 가기 만들기" 기능을 사용하여 생성할 수도 있으며, 다음과 같은 경우에도 자동으로 생성됩니다:
- 로컬 파일 실행: 사용자가 로컬 저장소에서 특정 파일을 실행하면 LNK 파일이 생성됩니다.
- 네트워크 공유 파일 실행: 원격지에 저장된 파일을 열었을 경우 해당 실행 경로가 포함된 LNK 파일이 생성될 수 있습니다.
- 최근 문서 접근: Windows에서 최근 사용한 문서 목록을 저장하기 위해 LNK 파일을 자동으로 생성합니다.
- 삭제된 원본 파일 추적 가능: 원본 파일이 삭제되었어도 LNK 파일이 남아 있다면 파일 경로 및 일부 메타데이터를 복구할 수 있습니다.
2. 확인할 수 있는 정보
- MAC Time (파일 생성, 접근, 수정 시간): LNK 파일의 타임스탬프를 통해 원본 파일이 언제 생성되고, 실행되었는지 확인할 수 있습니다.
- 원본 파일의 경로 및 실행 여부: LNK 파일 내에 포함된 원본 파일 경로를 통해 실행된 위치를 확인할 수 있습니다.
- 네트워크 공유 정보 및 원격지 파일 실행 여부: 원본 파일이 네트워크 드라이브에서 실행되었을 경우 해당 네트워크 경로가 저장됩니다.
- 사용자 및 시스템 정보: LNK 파일 내부에는 파일이 생성된 시스템의 사용자 정보 및 시스템 고유 ID(SID, GUID 등)가 포함될 수 있습니다.
- 삭제된 원본 파일 추적 가능 여부: 원본 파일이 삭제되었더라도 LNK 파일을 통해 파일의 존재 여부를 추적할 수 있습니다.
3. LNK 파일의 저장 경로
- 바탕화면: C:\Users\<user name>\Desktop
- 최근 문서: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Recent
- 빠른 실행(Quick Launch): C:\Users\<user name>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
- 시작 프로그램: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
4. LNK 분석 도구
4.1. LECmd (Eric Zimmerman)
LECmd는 LNK 파일을 분석하여 원본 파일 경로, 실행 시간, 네트워크 정보 등을 추출할 수 있는 명령줄 도구입니다.
LECmd 사용법:
LECmd.exe -d "C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Recent"
출력된 결과를 통해 LNK 파일 내의 중요한 정보를 확인할 수 있습니다. 특히 JSON 또는 CSV 형식으로 출력이 가능하여 보고서 작성에 용이합니다.
2). Jumplist
1. 개요
Jumplist는 Windows 7부터 도입된 기능으로, 사용자가 최근에 실행한 문서 및 프로그램 정보를 기록하고 관리하는 링크 파일입니다. 작업 표시줄(Taskbar)에서 특정 응용 프로그램을 우클릭하면 최근 사용된 문서나 프로그램이 표시되며, 이를 통해 사용자의 프로그램 실행 내역을 쉽게 접근할 수 있습니다. 이 기능은 사용자의 생산성을 높이는 동시에 디지털 포렌식 분석에서 중요한 역할을 합니다.
Jumplist는 응용 프로그램별로 그룹화되며, 자동 생성된 파일을 기반으로 분석이 가능합니다. 이 정보는 포렌식적으로 사용자의 최근 활동을 파악하는 데 중요한 단서를 제공합니다.
2. Jumplist의 저장 경로
Jumplist 데이터는 다음과 같은 두 가지 파일 경로에서 찾을 수 있습니다:
- 자동 저장 경로 (Automatic Destinations)
C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
자동 생성되며, 응용 프로그램별 Jumplist 데이터가 포함되어 있습니다. - 사용자 지정 저장 경로 (Custom Destinations)
C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
사용자가 직접 구성한 Jumplist 항목이 저장됩니다.
각 파일은 특정 응용 프로그램에 대한 정보를 포함하고 있으며, 프로그램 실행 기록, 파일 접근 내역, 실행 시간 등을 확인할 수 있습니다.
3. 확인할 수 있는 정보
- 최근 사용된 문서 및 프로그램: 사용자가 어떤 프로그램을 실행했는지, 어떤 파일을 열었는지 확인할 수 있습니다.
- 사용자 활동 패턴 분석: 사용자가 주로 실행하는 프로그램과 시간대를 분석할 수 있습니다.
- 파일 실행 빈도 및 특정 시점의 활동 추적: 특정 날짜와 시간대에 실행된 프로그램 및 파일을 파악할 수 있습니다.
- 삭제된 파일 확인: 파일이 삭제되었더라도 Jumplist 기록을 통해 해당 파일이 존재했음을 증명할 수 있습니다.
4. Jumplist 분석 도구
4.1 JumpList Explorer
JumpList Explorer는 Jumplist 파일을 분석하여 최근 실행된 프로그램 및 문서 사용 기록을 확인할 수 있는 강력한 도구입니다.
JumpList Explorer 사용법:
JumpList Explorer.exe
- 프로그램 실행 후, 자동 및 사용자 지정 Jumplist 데이터를 불러와 분석할 수 있습니다.
- 실행된 파일 경로, 프로그램 이름, 실행 시간 등을 확인할 수 있습니다.
3) Shellbags
1. 개요
Shellbags는 Windows 운영 체제에서 사용자가 탐색기(Explorer)를 통해 접근한 폴더의 정보를 기록하는 레지스트리 아티팩트입니다. 사용자가 특정 폴더를 열거나 파일 탐색을 수행할 때, Shellbags 데이터를 통해 해당 폴더의 접근 시간, 위치, 삭제 여부 등을 추적할 수 있습니다.
Shellbags는 파일 자체가 아닌 폴더 접근 정보를 저장하므로, 삭제된 폴더의 흔적을 복원하는 데 중요한 단서를 제공합니다. 이는 디지털 포렌식 분석에서 사용자의 행동 패턴을 분석하고, 특정 사건과의 관련성을 입증하는 데 유용하게 활용됩니다.
2. 확인할 수 있는 정보
Shellbags 데이터는 다음과 같은 정보를 포함합니다:
- 특정 폴더 접근 시간: 사용자가 특정 폴더를 언제 열었는지 확인할 수 있습니다.
- 삭제된 폴더의 흔적: 사용자가 접근했던 폴더가 이후 삭제되었는지 확인할 수 있습니다.
- 폴더 탐색 이력: Windows 탐색기를 통해 열어본 폴더의 전체적인 히스토리를 복원할 수 있습니다.
- 폴더 보기 설정 정보: 사용자가 해당 폴더를 어떤 방식(아이콘, 목록, 타일 보기 등)으로 탐색했는지에 대한 정보도 포함됩니다.
- 드라이브 및 네트워크 공유 정보: 폴더가 로컬 드라이브인지, 네트워크 드라이브인지 여부를 확인할 수 있습니다.
이러한 정보는 사용자의 디지털 흔적을 분석하여 특정 시점에 어떤 작업을 수행했는지를 재구성하는 데 중요한 역할을 합니다.
3. Shellbags의 저장 경로
Shellbags 데이터는 Windows 레지스트리에 저장됩니다. 주요 저장 위치는 다음과 같습니다:
- 레지스트리 경로:
HKCU\Software\Microsoft\Windows\Shell\BagMRU
HKCU\Software\Microsoft\Windows\Shell\Bags
이 두 개의 키는 Shellbags 정보를 저장하는 핵심 위치로, 사용자가 접근한 폴더 및 탐색 기록을 유지합니다.
4. Shellbags 분석 도구
4.1 ShellBags Explorer
ShellBags Explorer는 Windows Shellbags 데이터를 시각적으로 분석할 수 있는 강력한 포렌식 도구입니다.
ShellBags Explorer 사용법:
ShellBagsExplorer.exe
- 프로그램 실행 후, Windows 레지스트리에서 Shellbags 데이터를 자동으로 로드합니다.
- 사용자가 접근한 폴더 목록, 마지막 접근 시간, 삭제 여부 등을 확인할 수 있습니다.
- 데이터를 CSV 또는 JSON 형식으로 내보내어 추가 분석이 가능합니다.
4.2 Shellbagsview
https://www.nirsoft.net/utils/shell_bags_view.html#google_vignette
View and optionally change the folders Settings of Windows Explorer
View the folder Settings of Windows Explorer - display mode (Details, Icons, Tiles, Content, List), icon size, slot number, and more. Optionally set the display mode of multiple folders at once.
www.nirsoft.net
- 오픈소스인 ShellBagsView v1.30 프로그램은 Windows에서 저장한 모든 폴더 설정 목록을 표시
- 열린 날짜/시간, 항목 번호, 표시 모드 (세부 정보, 아이콘 등..), 창의 마지막 위치 및 마지막 창의 크기 설정 정보 확인 가능
그 외에도 고려대에서 개발한 REGA도 사용이 가능하다.
4) OpenSavePidlMRU
1. 개요
OpenSavePidlMRU는 Windows 탐색기(Explorer)의 "파일 열기/저장" 대화 상자를 통해 최근에 열거나 저장한 파일 정보를 저장하는 레지스트리 키입니다. 사용자가 특정 파일을 열거나 저장할 때, Windows는 해당 파일의 정보를 기록하여 이후 빠르게 접근할 수 있도록 합니다.
이 레지스트리는 파일 확장자별로 그룹화되어 있으며, 사용자가 가장 최근에 열거나 저장한 파일 목록을 유지합니다. 포렌식적으로 OpenSavePidlMRU는 사용자의 활동을 추적하는 중요한 아티팩트이며, 최근 사용된 파일의 경로 및 타임스탬프를 확인할 수 있는 강력한 증거가 될 수 있습니다.
2. 확인할 수 있는 정보
- 사용자가 최근에 열거나 저장한 파일 경로
- 파일 확장자별로 그룹화된 목록
- 파일 접근 시간 (해당 파일이 열리거나 저장된 시간)
- 어떤 프로그램을 사용하여 열었는지에 대한 정보
- 파일이 네트워크 드라이브에서 실행되었는지 여부
3. OpenSavePidlMRU의 저장 경로
이 데이터는 Windows 레지스트리에 저장되며, 해당 키는 다음과 같습니다:
- 레지스트리 경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
이 레지스트리 키에는 사용자가 열거나 저장한 파일들이 확장자별로 저장되며, 각각의 하위 키는 특정 파일 유형을 나타냅니다. 예를 들어:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\txt → 최근에 열었던 .txt 파일 목록
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\jpg → 최근에 열었던 .jpg 파일 목록
각 키는 최근 사용된 파일 목록을 포함하며, 삭제된 파일도 흔적을 남길 수 있습니다.
4. OpenSavePidlMRU 분석 도구
4.1 RegRipper
RegRipper는 Windows 레지스트리를 분석하는 강력한 도구이며, OpenSavePidlMRU 데이터를 쉽게 추출할 수 있습니다.
RegRipper 사용법:
perl rip.pl -r NTUSER.DAT -p opensavepidlmru
- NTUSER.DAT 파일을 분석하여 사용자의 최근 파일 열람 이력을 확인할 수 있습니다.
- 파일 확장자별로 저장된 목록을 정리하여 사용자 활동을 추적할 수 있습니다.
5) RecentDocs
1. 개요 및 역할
RecentDocs는 Windows 탐색기를 통해 사용자가 실행한 파일 및 폴더 정보를 저장하는 레지스트리 항목입니다. 사용자가 특정 파일을 실행하거나 특정 폴더에 접근하면, Windows는 이를 기록하여 사용자가 빠르게 다시 접근할 수 있도록 합니다. RecentDocs는 최대 20개의 파일 목록을 유지하며, 파일 확장자별로 그룹화됩니다.
RecentDocs는 사용자의 활동 기록을 분석하는 데 중요한 아티팩트로 활용됩니다. 이를 통해 사용자가 최근에 어떤 파일을 열었으며, 어떤 폴더에 접근했는지를 확인할 수 있습니다.
2. 확인할 수 있는 정보
- 사용자가 최근에 열거나 실행한 파일 및 폴더 정보
- 파일 확장자별로 그룹화된 파일 목록
- 파일이 마지막으로 실행된 시간
- 삭제된 파일이 존재했는지 여부
- 사용자가 특정 파일을 반복적으로 열었는지 여부
RecentDocs를 분석하면 사용자의 파일 사용 패턴을 추적할 수 있으며, 특정 사건이 발생한 시점과 관련하여 사용자가 어떤 문서를 열었는지를 파악하는 데 도움이 됩니다.
3. RecentDocs의 저장 경로
RecentDocs 데이터는 Windows 레지스트리에 저장되며, 해당 키는 다음과 같습니다:
- 레지스트리 경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
이 키의 하위 항목은 확장자별로 그룹화되며, 각 확장자에는 해당 확장자로 열렸던 최근 파일 목록이 저장됩니다. 예를 들어:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\pdf → 최근에 열었던 .pdf 파일 목록
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\docx → 최근에 열었던 .docx 파일 목록
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\jpg → 최근에 열었던 .jpg 파일 목록
각 하위 키에는 해당 파일을 마지막으로 실행한 타임스탬프와 파일명 정보가 포함되어 있습니다.
4. RecentDocs 분석 도구.
4.1 RegRipper
RegRipper는 Windows 레지스트리를 분석하는 강력한 명령줄 기반 도구로, RecentDocs 데이터를 쉽게 추출할 수 있습니다.
RegRipper 사용법:
perl rip.pl -r NTUSER.DAT -p recentdocs
- NTUSER.DAT 파일을 분석하여 사용자가 최근에 실행한 파일 목록을 확인할 수 있습니다.
- 파일 확장자별로 저장된 목록을 정리하여 사용자 활동을 추적할 수 있습니다.
4.2 Registry Explorer (Eric Zimmerman 도구)
Registry Explorer는 Windows 레지스트리를 시각적으로 분석할 수 있는 강력한 GUI 기반 도구입니다.
Registry Explorer 사용법:
- 프로그램을 실행하고 NTUSER.DAT 파일을 로드합니다.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 키를 찾아 데이터를 분석합니다.
- 파일 확장자별로 최근 사용된 파일 목록을 확인할 수 있습니다.
6) UserAssist
1. 개요
UserAssist는 Windows 운영 체제에서 사용자가 실행한 프로그램 목록을 기록하는 레지스트리 키입니다. 이 키는 사용자가 실행한 응용 프로그램의 실행 횟수, 마지막 실행 시간 등의 정보를 저장하며, 이는 포렌식 분석에서 사용자의 행동 패턴을 확인하는 데 중요한 단서를 제공합니다.
UserAssist는 일반적인 실행 목록과 달리, 프로그램 실행 정보를 ROT-13 방식으로 인코딩하여 저장하는 특징이 있습니다. 따라서 해당 정보를 분석하기 위해서는 먼저 디코딩 작업이 필요합니다.
2. 확인할 수 있는 정보
UserAssist 키를 분석하면 다음과 같은 정보를 확인할 수 있습니다:
- 사용자가 실행한 프로그램 목록
- 각 프로그램의 실행 횟수
- 마지막 실행 시간 (UTC 기준)
- 실행된 응용 프로그램의 전체 경로
- 운영 체제에서 자동 실행된 프로그램 여부
이 정보를 통해 특정 사용자의 시스템 사용 습관을 분석하고, 특정 시간대에 실행된 프로그램을 확인하여 사건과의 연관성을 파악할 수 있습니다.
3. UserAssist의 저장 경로
UserAssist 데이터는 Windows 레지스트리에 저장되며, 해당 키는 다음과 같습니다:
- 레지스트리 경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
이 키 아래에는 여러 개의 하위 키가 있으며, 특정한 GUID 값과 함께 저장됩니다. 대표적인 UserAssist 하위 키는 다음과 같습니다:
- {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count → 사용자가 실행한 응용 프로그램 목록
- {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count → 바로가기 실행 기록
각 키 안에 저장된 값들은 ROT-13 방식으로 인코딩되어 있으므로, 이를 해독하여 원본 값을 복원해야 합니다.
4. ROT-13 인코딩 및 디코딩 방법
UserAssist 키는 단순한 암호화 기법인 ROT-13으로 저장되어 있습니다. ROT-13 방식은 알파벳을 13자씩 이동시켜 변환하는 방식으로, 이를 디코딩하면 원래 실행된 프로그램 경로를 확인할 수 있습니다.
ROT-13 디코딩 (Python 코드)
import codecs
def rot13_decode(encoded_string):
return codecs.decode(encoded_string, 'rot_13')
encoded_text = ""
decoded_text = rot13_decode(encoded_text)
print(decoded_text)
이 방법을 사용하면 UserAssist 키에 저장된 프로그램 실행 정보를 복원할 수 있습니다.
5. UserAssist 분석 도구
5.1 UserAssistParser (Eric Zimmerman)
UserAssistParser는 UserAssist 데이터를 자동으로 디코딩하고 분석할 수 있는 강력한 도구입니다.
UserAssistParser 사용법:
UserAssistParser.exe -f "C:\Users\<user name>\NTUSER.DAT"
- 자동으로 ROT-13 디코딩을 수행하며, 실행 횟수 및 마지막 실행 시간을 출력합니다.
- JSON 및 CSV 파일로 결과를 저장할 수 있어 보고서 작성에 용이합니다.
5.2 RegRipper
RegRipper는 Windows 레지스트리를 분석하는 명령줄 기반 포렌식 도구입니다.
RegRipper 사용법:
perl rip.pl -r NTUSER.DAT -p userassist
- UserAssist 키를 분석하여 실행된 프로그램 목록과 실행 횟수를 출력합니다.
- ROT-13 디코딩을 자동으로 수행하여 분석 결과를 제공할 수 있습니다.
7) Prefetch
1. 개요
Prefetch(프리페치)는 Windows 운영 체제에서 응용 프로그램의 실행 속도를 최적화하기 위해 생성하는 캐시 파일입니다. Windows XP부터 도입되었으며, 실행된 프로그램과 관련된 파일을 미리 로드하여 다음 실행 시 속도를 향상시키는 역할을 합니다.
Prefetch 파일(.pf)은 특정 프로그램이 실행될 때 C:\Windows\Prefetch 디렉토리에 저장됩니다. 이 파일에는 실행된 프로그램의 경로, 실행 시간, 실행 횟수, 참조된 DLL 및 기타 리소스 정보가 포함되어 있습니다.
포렌식적으로 Prefetch는 사용자의 프로그램 실행 이력을 분석하는 중요한 아티팩트로 활용되며, 특히 악성코드 분석, 침해 대응(IR), 사용자의 활동 추적에 유용합니다.
2. 확인할 수 있는 정보
Prefetch 파일을 분석하면 다음과 같은 정보를 확인할 수 있습니다:
- 사용자가 실행한 프로그램 목록: 어떤 응용 프로그램이 실행되었는지 확인 가능
- 프로그램 실행 횟수: 특정 프로그램이 몇 번 실행되었는지 확인 가능
- 마지막 실행 시간: 프로그램이 마지막으로 실행된 날짜 및 시간
- 실행된 프로그램의 위치(파일 경로)
- 프로그램이 실행될 때 참조한 DLL 및 기타 리소스 목록
- 삭제된 프로그램의 실행 흔적: 프로그램이 제거되었더라도 Prefetch 파일이 존재하면 실행된 증거를 확보 가능
이러한 정보는 사용자 활동 분석 및 침해 사고 대응에서 중요한 역할을 합니다.
3. Prefetch의 저장 경로 및 파일 구조
3.1 저장 경로
Prefetch 파일은 기본적으로 다음 위치에 저장됩니다:
C:\Windows\Prefetch
- 해당 디렉토리에 .pf 확장자를 가진 여러 개의 파일이 존재하며, 각각 특정 프로그램에 대한 실행 정보를 포함합니다.
- 파일명은 프로그램명-해시값.pf 형태로 저장됩니다. 예시: EXPLORER.EXE-303E5FA2.pf
3.2 Prefetch 파일 구조
Prefetch 파일의 기본 구조는 다음과 같습니다:
오프셋(Hex) | 크기(Bytes) | 필드명 | 설명 |
0x00 | 4 | Signature | 항상 SCCA 값 (파일 포맷 식별자) |
0x04 | 4 | Version | Prefetch 파일 버전 (XP: 17, Vista/7: 23, 8/10/11: 30) |
0x0C | 4 | File Size | Prefetch 파일 크기 |
0x10 | 8 | Last Execution Time | 마지막 실행 시간 (Windows FILETIME 형식) |
0x18 | 4 | Execution Count | 실행 횟수 |
0x1C | 60 | Executable Name | 실행된 프로그램 이름 |
0x70 이후 | 가변 | Referenced File List | 실행 시 참조된 DLL 및 기타 파일 목록 |
Windows 버전에 따라 Prefetch 파일의 구조가 조금씩 다르지만, 핵심 정보(실행 횟수, 마지막 실행 시간, 프로그램 이름 등)는 공통적으로 포함됩니다.
4. Prefetch 분석 도구
4.1 WinPrefetchView (NirSoft)
WinPrefetchView는 Prefetch 파일을 시각적으로 분석할 수 있는 GUI 기반 도구입니다.
WinPrefetchView 사용법:
- C:\Windows\Prefetch 디렉토리를 선택하여 Prefetch 파일을 불러옵니다.
- 특정 프로그램이 실행된 횟수, 마지막 실행 시간, 파일 경로 등을 확인할 수 있습니다.
4.2 PECmd (Eric Zimmerman 도구)
PECmd는 Prefetch 파일을 분석하는 강력한 명령줄 기반 도구입니다.
PECmd 사용법:
PECmd.exe -d "C:\Windows\Prefetch" -o "C:\Output"
- -d 옵션: 분석할 Prefetch 디렉토리 지정
- -o 옵션: 분석 결과를 저장할 출력 폴더 지정
- 결과는 CSV 및 JSON 형식으로 저장 가능
8) MUICache
1. 개요
MUICache(Multilingual User Interface Cache)는 Windows 운영 체제에서 다국어 인터페이스를 지원하기 위해 프로그램 정보를 저장하는 레지스트리 키입니다. Windows는 사용자가 실행한 프로그램의 UI 언어 및 프로그램 이름을 저장하여, 다국어 환경에서도 일관된 UI를 제공할 수 있도록 합니다.
포렌식 분석에서 MUICache는 프로그램이 한 번이라도 실행되었는지를 확인하는 데 중요한 역할을 합니다. 프로그램의 실행 여부뿐만 아니라 실행된 파일의 전체 경로와 사용자 인터페이스(UI) 이름을 확인할 수 있습니다.
MUICache는 사용자가 특정 프로그램을 실행하면 자동으로 레지스트리에 해당 프로그램 정보를 기록하며, 사용자가 직접 정보를 수정하지 않는 한 장기간 유지됩니다. 따라서 삭제된 프로그램의 흔적을 분석하거나, 특정 시간대에 어떤 프로그램이 실행되었는지를 조사하는 데 유용합니다.
2. 확인할 수 있는 정보
MUICache 키를 분석하면 다음과 같은 정보를 얻을 수 있습니다:
- 사용자가 실행한 프로그램 목록: 사용자가 실행한 프로그램이 기록됩니다.
- 실행된 프로그램의 전체 경로: 실행된 프로그램의 위치를 확인할 수 있습니다.
- UI에서 표시된 프로그램 이름: 사용자가 프로그램 실행 시 본 프로그램 이름을 확인할 수 있습니다.
- 삭제된 프로그램 흔적 분석: 프로그램이 삭제되었더라도 MUICache에 남아 있는 경우 실행 여부를 확인할 수 있습니다.
이 정보는 포렌식 조사에서 사용자의 활동을 분석하고, 특정 사건과 관련된 프로그램 실행 여부를 입증하는 데 활용됩니다.
3. MUICache의 저장 경로
MUICache 데이터는 Windows 레지스트리에 저장되며, 주요 저장 경로는 다음과 같습니다:
- 레지스트리 경로:
- HKCU\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache
이 키 아래에는 프로그램의 실행 정보가 기록되며, 프로그램이 실행될 때마다 새로운 항목이 추가됩니다.
Windows 버전에 따라 MUICache 키의 경로가 다를 수 있으므로, 분석 시 다음의 대체 경로도 확인해야 합니다:
- Windows XP 및 이전:
- HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
- Windows Vista 및 이후:
- HKCU\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache
4. MUICache 분석 도구
MUICache 데이터는 Windows 탐색기에서 직접 확인할 수 없으며, 포렌식 분석 도구를 사용하여 데이터를 추출하고 분석해야 합니다. 주요 분석 도구는 다음과 같습니다.
4.1 RegRipper
RegRipper는 Windows 레지스트리를 분석하는 명령줄 기반 포렌식 도구로, MUICache 데이터를 쉽게 추출할 수 있습니다.
RegRipper 사용법:
perl rip.pl -r NTUSER.DAT -p muicache
- NTUSER.DAT 파일을 분석하여 MUICache에 기록된 프로그램 실행 정보를 확인할 수 있습니다.
- 프로그램 이름, 실행 경로, UI에서 표시된 프로그램 이름 등의 데이터를 추출할 수 있습니다.
4.2 Registry Explorer (Eric Zimmerman 도구)
Registry Explorer는 GUI 기반으로 레지스트리를 시각적으로 분석할 수 있는 도구입니다.
Registry Explorer 사용법:
- 프로그램을 실행하고 NTUSER.DAT 파일을 로드합니다.
- HKCU\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache 키를 찾아 데이터를 분석합니다.
- 프로그램 실행 여부 및 프로그램 이름을 확인할 수 있습니다.
10) SRUM
1. 개요
SRUM(System Resource Usage Monitor)은 Windows 8부터 도입된 기능으로, 응용 프로그램의 자원 사용 내역을 저장하는 데이터베이스입니다. Windows는 시스템 성능 최적화 및 배터리 사용 분석을 위해 SRUM을 활용하며, SRUDB.dat 파일을 통해 다양한 시스템 자원 사용 정보를 유지합니다.
포렌식적으로 SRUM 데이터는 사용자의 프로그램 실행 내역, 네트워크 사용량, CPU 및 메모리 소비량 등을 추적하는 중요한 아티팩트입니다. 특히 침해 사고 대응 및 악성코드 분석에서 사용자 행위를 추적하는 데 유용하게 활용됩니다.
2. 확인할 수 있는 정보
SRUM 데이터베이스를 분석하면 다음과 같은 정보를 확인할 수 있습니다:
- 응용 프로그램 실행 시간 및 지속 시간
- 네트워크 사용량 (업로드/다운로드 데이터 크기)
- CPU 및 메모리 사용량
- 배터리 소모량 (휴대용 기기에서 유용함)
- 사용자가 실행한 프로세스 및 관련된 네트워크 연결
- 외부 IP 주소 및 원격지 접속 흔적
- 사용자가 특정 시점에 실행한 프로그램 및 실행 패턴
SRUM 데이터는 일반적인 프로세스 실행 로그보다 더욱 세부적인 리소스 사용량을 기록하기 때문에 악성코드 감염 여부를 분석하는 데 매우 중요한 역할을 합니다.
3. SRUM의 저장 경로
SRUM 데이터는 Windows 내부 데이터베이스에 저장되며, 주요 저장 경로는 다음과 같습니다:
- SRUM 데이터베이스 파일 경로:이 파일은 Windows ESE(Extensible Storage Engine) 데이터베이스 형식으로 저장됩니다.
- C:\Windows\System32\sru\SRUDB.dat
- 레지스트리 관련 키:이 레지스트리는 SRUM이 수집하는 데이터 항목을 정의하는 데 사용됩니다.
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions
4. SRUM 분석 도구
4.1 srum_dump (Mark Baggett 제작)
srum_dump는 SRUM 데이터베이스를 SQL 형식으로 변환하여 분석할 수 있도록 도와주는 Python 기반 도구입니다.
srum_dump 사용법:
python srum_dump.py -i "C:\Windows\System32\sru\SRUDB.dat" -o output.csv
- -i 옵션: 분석할 SRUDB.dat 파일 지정
- -o 옵션: 출력 파일을 CSV 형식으로 저장
CSV 파일로 저장된 데이터를 엑셀 또는 SQL로 확인할 수 있습니다.
4.2 SRUMParser (Eric Zimmerman 제작)
SRUMParser는 SRUM 데이터를 자동으로 분석하고 결과를 CSV 및 JSON 형식으로 출력할 수 있는 강력한 포렌식 도구입니다.
SRUMParser 사용법:
SRUMParser.exe -d "C:\Windows\System32\sru" -o "C:\Output"
- -d 옵션: 분석할 SRUDB.dat 파일이 위치한 디렉토리 지정
- -o 옵션: 분석 결과를 저장할 폴더 지정
- 실행 후 프로그램 사용 이력, 네트워크 활동, 리소스 사용량 등의 정보를 확인할 수 있음
4.3 FTK Imager를 이용한 SRUM 데이터 추출
FTK Imager를 사용하여 SRUM 데이터를 추출한 후 분석할 수도 있습니다.
FTK Imager 사용법:
- File > Add Evidence Item을 선택하여 분석 대상 디스크를 추가합니다.
- C:\Windows\System32\sru\SRUDB.dat 파일을 찾아 추출합니다.
- 추출된 파일을 srum_dump 또는 SRUMParser를 이용하여 분석합니다.
11) Timeline
1. 개요 및 역할
Timeline(타임라인)은 Windows 10 이후 도입된 기능으로, 사용자가 특정 시간대에 실행한 프로그램, 열어본 문서, 웹 브라우징 활동 등을 기록하는 시스템 아티팩트입니다. Microsoft는 Timeline을 통해 사용자가 작업을 연속적으로 수행할 수 있도록 돕는 기능을 제공하며, 동일한 Microsoft 계정으로 로그인한 여러 장치 간 작업을 동기화할 수도 있습니다.
포렌식적으로 Timeline은 사용자의 작업 내역을 시간 순서대로 분석할 수 있는 강력한 데이터베이스입니다. 프로그램 실행 및 종료 시간, 문서 편집 이력, 웹 브라우징 내역을 분석하여 특정 사건과의 연관성을 파악할 수 있습니다.
2. 확인할 수 있는 정보
- 프로그램 실행 및 종료 시간: 사용자가 특정 애플리케이션을 언제 실행하고 종료했는지 확인 가능
- 웹 브라우저 기록 (Edge 기반): 사용자가 방문한 웹사이트 URL, 방문 시간 등의 정보 포함
- 최근 사용한 파일 목록: 파일을 열고 수정한 내역 확인 가능
- 문서 편집 시간 및 활동 패턴: 사용자가 특정 문서를 얼마나 오래 편집했는지 분석 가능
- 장치 간 동기화 기록: 동일한 Microsoft 계정을 사용하는 여러 장치에서 실행된 프로그램 및 작업 내역 확인 가능
이 정보를 활용하면 특정 사건 발생 시점과 사용자의 활동을 비교하여 정확한 타임라인을 구축할 수 있습니다.
3. Timeline의 저장 위치 및 데이터 구조
3.1 주요 데이터 위치
Timeline 데이터는 SQLite 데이터베이스 파일로 저장되며, 다음 경로에서 찾을 수 있습니다:
C:\Users\<user name>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db
이 데이터베이스에는 사용자의 활동 기록이 저장되며, 포렌식적으로 중요한 이벤트 분석이 가능합니다.
3.2 데이터베이스 형식
- 파일 형식: SQLite (ActivitiesCache.db)
- 주요 테이블: Activity
- 저장된 데이터 항목:
- StartTime → 프로그램 실행 시작 시간
- EndTime → 프로그램 종료 시간
- AppId → 실행된 프로그램의 ID
- Payload → 실행된 문서 또는 URL 정보
- LastModifiedTime → 마지막 수정 시간
4. Timeline 분석 도구
4.1 DB Browser for SQLite
DB Browser for SQLite는 SQLite 데이터베이스를 분석할 수 있는 GUI 기반 도구입니다.
DB Browser for SQLite 사용법:
- ActivitiesCache.db 파일을 DB Browser for SQLite에서 엽니다.
- Browse Data 탭에서 Activity 테이블을 선택합니다.
- SQL 쿼리를 실행하여 원하는 정보를 검색합니다.
- SELECT * FROM Activity;
- 특정 시간대에 실행된 프로그램 또는 열어본 문서를 확인할 수 있습니다.
4.2 Timeline Explorer (Eric Zimmerman 도구)
Timeline Explorer는 Windows 아티팩트에서 시간 기반 데이터를 분석하는 도구입니다.
Timeline Explorer 사용법:
- ActivitiesCache.db 파일을 프로그램에 로드합니다.
- 시간 순서대로 정렬하여 특정 이벤트를 분석합니다.
- 필터링 기능을 이용하여 특정 프로그램이나 문서 편집 내역을 추출할 수 있습니다.
4.3 FTK Imager를 이용한 데이터 추출
FTK Imager를 사용하여 ActivitiesCache.db 파일을 수집한 후 분석할 수도 있습니다.
FTK Imager 사용법:
- File > Add Evidence Item을 선택하여 분석 대상 드라이브를 추가합니다.
- C:\Users\<user name>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db 파일을 찾아 추출합니다.
- 추출된 파일을 DB Browser for SQLite 또는 Timeline Explorer에서 분석합니다.
12) Windows Event Logs
1. 개요 및 역할
Windows Event Logs(윈도우 이벤트 로그)는 Windows 운영 체제에서 시스템 및 사용자 활동을 기록하는 핵심 로그 파일입니다. 이 로그는 시스템 성능, 보안 이벤트, 애플리케이션 실행 내역, 네트워크 활동 등을 저장하며, 디지털 포렌식 분석에서 사용자의 행동을 추적하는 데 중요한 역할을 합니다.
Windows 이벤트 로그는 .evtx 파일 형식으로 저장되며, 보안(Security), 시스템(System), 응용 프로그램(Application) 등의 여러 카테고리로 분류됩니다. 이를 통해 사용자의 로그온 및 로그오프 기록, 프로그램 실행 내역, USB 연결 내역, 원격 접속 내역 등을 확인할 수 있습니다.
2. 분석을 통해 확인할 수 있는 정보
- 사용자 로그인 및 로그아웃 기록
- 성공적인 로그인 이벤트 (Event ID 4624)
- 로그오프 이벤트 (Event ID 4634)
- 로그인 실패 및 비밀번호 입력 오류 (Event ID 4625, 4776)
- 프로그램 실행 및 오류 기록
- 실행된 프로세스 정보 (Event ID 4688)
- 응용 프로그램 충돌 및 오류 (Event ID 1000)
- USB 연결 및 제거 기록
- 저장 장치 연결 (Event ID 2003)
- 저장 장치 제거 (Event ID 2102)
- 원격 데스크톱 접속 내역
- RDP 로그인 성공 (Event ID 4624, Logon Type 10)
- RDP 로그인 실패 (Event ID 4625, 4776)
- 보안 정책 변경 및 시스템 활동
- 방화벽 설정 변경 (Event ID 4950)
- 그룹 정책 변경 (Event ID 4704)
- 사용자 계정 생성 및 삭제 (Event ID 4720, 4726)
이러한 정보는 침해 사고 대응 및 사용자 활동 추적에서 중요한 증거로 사용될 수 있습니다.
3. Windows Event Logs 저장 위치 및 구조
3.1 주요 데이터 저장 경로
Windows 이벤트 로그는 EVTX 파일 형식으로 저장되며, 기본적인 로그 파일의 위치는 다음과 같습니다:
C:\Windows\System32\winevt\Logs\
여기에는 다양한 이벤트 로그 파일이 포함되어 있으며, 중요한 파일은 다음과 같습니다:
- Security.evtx → 보안 관련 이벤트(로그온, 로그오프, 접근 권한 변경 등)
- System.evtx → 시스템 이벤트(디바이스 연결, 서비스 시작 및 종료 등)
- Application.evtx → 응용 프로그램 실행 및 오류 로그
3.2 이벤트 로그의 주요 필드
각 이벤트 로그 항목에는 다음과 같은 필드가 포함되어 있습니다:
- Event ID: 이벤트 유형을 식별하는 고유한 번호
- Log Name: 이벤트가 기록된 로그 파일의 이름
- Level: 이벤트의 중요도 (정보, 경고, 오류)
- Date and Time: 이벤트가 발생한 시간
- User: 이벤트를 실행한 사용자
- Computer: 이벤트가 발생한 컴퓨터 이름
- Description: 이벤트의 상세 설명
4. Windows Event Logs 분석 도구
4.1 Event Log Explorer
Event Log Explorer는 GUI 기반의 Windows 이벤트 로그 분석 도구로, .evtx 파일을 쉽게 탐색하고 특정 이벤트를 검색할 수 있습니다.
Event Log Explorer 사용법:
- 프로그램을 실행하고 File > Open Log File을 선택합니다.
- C:\Windows\System32\winevt\Logs\Security.evtx 파일을 불러옵니다.
- 필터링 기능을 이용하여 특정 Event ID(예: 4624, 4634)를 검색합니다.
- 분석된 이벤트 정보를 CSV로 내보낼 수 있습니다.
4.2 EvtxParser (Python 기반 분석 도구)
EvtxParser는 이벤트 로그 파일을 분석하고 특정 이벤트를 추출하는 Python 기반 도구입니다.
EvtxParser 사용법:
python EvtxParser.py -f C:\Windows\System32\winevt\Logs\Security.evtx
- -f 옵션: 분석할 이벤트 로그 파일 지정
- 출력된 JSON 또는 CSV 데이터를 기반으로 분석 가능
4.3 Windows 기본 이벤트 뷰어(Event Viewer)
Windows 자체 이벤트 뷰어(Event Viewer)를 사용하여 이벤트 로그를 분석할 수도 있습니다.
Event Viewer 사용법:
- Win + R을 누르고 eventvwr.msc 입력 후 실행합니다.
- Windows Logs > Security 항목을 선택합니다.
- 필터링(Filter Current Log) 기능을 이용하여 특정 Event ID를 검색합니다.
- 특정 이벤트의 상세 내용을 분석합니다.
13) USB 아티팩트
1. 개요
USB 아티팩트는 Windows 운영 체제에서 USB 장치가 연결될 때 저장하는 데이터로, 외부 저장 장치의 사용 내역을 확인하는 데 중요한 역할을 합니다. 사용자가 USB 드라이브를 연결하면 Windows는 해당 장치의 정보를 레지스트리와 시스템 로그에 기록하며, 이를 분석하면 장치 모델, 시리얼 번호, 연결 및 제거 시간, 할당된 드라이브 문자 등의 정보를 추출할 수 있습니다.
USB 분석은 데이터 유출, 무단 저장 장치 사용, 악성코드 감염 경로 분석 등의 보안 및 포렌식 조사에서 중요한 증거가 될 수 있습니다.
2. 확인할 수 있는 정보
- USB 장치의 연결 및 제거 시간
- 장치 제조사, 모델명, 시리얼 번호
- 연결된 드라이브 문자 및 파일 이동 가능성
- 이전에 연결되었던 USB 장치 목록
- USB가 마지막으로 사용된 시간
이 정보를 활용하면 데이터 유출 사고 분석, 무단 저장 장치 사용 여부 확인, 악성코드 감염 경로 분석 등에 활용할 수 있습니다.
3. USB 아티팩트 저장 위치 및 파일 구조
Windows는 USB 장치의 연결 내역을 여러 시스템 파일과 레지스트리에 저장합니다.
3.1 주요 레지스트리 키
HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR
- 연결된 USB 장치의 모델명, 제조사, 시리얼 번호 저장
HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID}
- 특정 USB 장치의 고유 식별자(GUID) 저장
HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices
- USB 장치의 볼륨명과 연결 정보 저장
3.2 시스템 로그 파일
C:\Windows\inf\Setupapi.dev.log
- USB 장치가 처음 연결될 때 드라이버가 설치된 이력 저장
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
- 드라이버 이벤트 로그를 기록하며 USB 장치의 연결 및 제거 내역 저장
4. USB 아티팩트 분석 도구
4.1 USB Historian
USB Historian은 USB 장치 연결 내역을 시각적으로 분석하는 GUI 기반 도구입니다.
- USB 연결 및 제거 시간을 분석하고 기록된 장치 정보를 추출할 수 있습니다.
4.2 RegRipper
RegRipper는 레지스트리 키를 분석하는 명령줄 기반 포렌식 도구로, USB 연결 정보를 추출하는 플러그인을 제공합니다.
사용법:
perl rip.pl -r SYSTEM -p usb
- USBSTOR 레지스트리 키에서 USB 장치 목록과 연결 정보를 추출할 수 있습니다.
4.3 FTK Imager를 이용한 데이터 추출
FTK Imager는 포렌식적으로 안전한 방식으로 USB 관련 레지스트리 데이터를 추출할 수 있습니다.
사용법:
- File > Add Evidence Item을 선택하여 분석 대상 드라이브를 추가합니다.
- C:\Windows\System32\Config\SYSTEM 파일을 추출합니다.
- RegRipper 또는 다른 레지스트리 분석 도구를 사용하여 USB 연결 기록을 분석합니다.
14) BAM
1. 개요
BAM(Background Activity Moderator)은 Windows 10부터 도입된 기능으로, 백그라운드에서 실행되는 응용 프로그램의 활동을 관리하고 제한하는 역할을 합니다. Windows는 사용자가 실행한 프로그램이 백그라운드에서 실행되었는지 여부를 추적하며, 이를 통해 리소스 사용 최적화 및 보안 강화를 위한 데이터를 수집합니다.
포렌식 분석에서 BAM 데이터는 특정 사용자가 실행한 프로그램의 목록과 실행 시간을 확인하는 데 매우 유용합니다.
2. 확인할 수 있는 정보
- 실행된 응용 프로그램 및 전체 경로
- 프로그램의 마지막 실행 시간
- 응용 프로그램이 백그라운드에서 실행되었는지 여부
- 악성코드가 백그라운드에서 실행된 가능성
- 사용자 계정별 프로그램 실행 내역 분석 가능
이 정보를 활용하면 사용자의 행동 패턴 분석, 악성코드 실행 여부 확인, 내부자 위협 탐지 등의 작업을 수행할 수 있습니다.
3. BAM 저장 위치 및 데이터 구조
BAM 데이터는 Windows 레지스트리에 저장됩니다. 주요 저장 경로는 다음과 같습니다:
3.1 BAM 데이터 저장 위치
HKLM\SYSTEM\ControlSet001\Services\bam\State\UserSettings\{SID}
- {SID}는 사용자 계정의 Security Identifier로, 각 사용자의 BAM 데이터가 별도로 저장됩니다.
- 실행된 프로그램의 전체 경로와 마지막 실행 시간이 기록됩니다.
- 실행 시간은 Windows FILETIME(UTC) 형식으로 저장됨.
4. BAM 분석 도구
4.1 FTK Imager를 이용한 데이터 추출
FTK Imager는 BAM 데이터를 추출하는 데 사용됩니다.
FTK Imager 사용법:
- File > Add Evidence Item을 선택하여 분석 대상 드라이브를 추가합니다.
- C:\Windows\System32\Config\SYSTEM 파일을 찾아 추출할 수 있습니다.
15) FeatureUsage
1. 개요 및 역할
FeatureUsage는 Windows에서 특정 사용자가 실행한 응용 프로그램과 실행 횟수를 추적하는 아티팩트입니다. Windows 10 빌드 1903부터 도입된 이 기능은 사용자의 응용 프로그램 사용 패턴을 분석하는 데 중요한 역할을 합니다.
FeatureUsage는 사용자가 실행한 프로그램이 어떻게 사용되었는지 보여주며, 특정 프로그램이 얼마나 자주 실행되었는지, 어떤 방식으로 실행되었는지에 대한 정보를 기록합니다. 따라서 포렌식 분석에서는 사용자 활동 추적, 악성코드 실행 탐지, 응용 프로그램 실행 분석에 활용됩니다.
2. 확인할 수 있는 정보
- 실행된 응용 프로그램 및 전체 경로
- 응용 프로그램의 실행 횟수 및 마지막 실행 시간
- 사용자가 특정 프로그램을 얼마나 자주 실행했는지 분석 가능
- 작업 표시줄에서 직접 실행된 응용 프로그램 기록
- 점프 목록 및 시스템 트레이와 관련된 실행 정보
이 정보를 활용하면 사용자의 행동 패턴 분석, 특정 프로그램의 사용 여부 확인, 악성코드 실행 탐지 등의 작업을 수행할 수 있습니다.
3. FeatureUsage 저장 위치
Windows는 FeatureUsage 데이터를 레지스트리에 저장합니다. 주요 저장 경로는 다음과 같습니다:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage
FeatureUsage는 5개의 주요 하위 키를 포함하며, 각 키는 특정 유형의 실행 기록을 저장합니다:
- AppBadgeUpdated: 응용 프로그램의 배지 아이콘이 업데이트된 횟수
- AppLaunch: 작업 표시줄에서 실행된 응용 프로그램 횟수
- AppSwitched: 실행 중인 응용 프로그램을 메인 포커스로 전환한 횟수
- ShowJumpView: 작업 표시줄에서 응용 프로그램을 우클릭하여 점프 목록을 연 횟수
- TrayButtonClicked: 작업 표시줄에서 특정 버튼을 클릭한 횟수
16) Windows Notification Center
1. 개요
Windows Notification Center는 Windows 운영 체제에서 발생하는 시스템 알림 및 사용자 상호작용 이벤트를 기록하는 기능입니다. 이 기능은 사용자가 특정 이벤트에 어떻게 반응했는지를 추적하는 데 유용하며, 이를 통해 시스템에서 발생한 주요 이벤트를 분석할 수 있습니다.
Windows Notification Center는 Microsoft Store 앱, 시스템 업데이트, 보안 경고, 이메일, 메시징 앱 등 다양한 알림 소스를 포함합니다. 포렌식 분석에서는 사용자 활동 내역, 보안 이벤트 추적, 악성코드 감염 조사 등의 목적으로 활용될 수 있습니다.
2. 확인할 수 있는 정보
Windows Notification Center의 데이터베이스를 분석하면 다음과 같은 정보를 확인할 수 있습니다:
- 응용 프로그램별 알림 기록
- 메시지 알림 및 사용자 응답 내역
- 특정 이벤트(보안 경고, 시스템 업데이트 등)에 대한 타임라인 추적
- 사용자가 특정 알림을 확인했는지 여부
- 알림을 통해 실행된 프로그램 또는 URL 정보
이 정보를 통해 사용자의 시스템 활동을 보다 정확하게 추적하고, 특정 보안 이벤트가 발생했을 때 사용자의 반응을 분석할 수 있습니다.
3. Windows Notification Center 저장 위치
Windows Notification Center의 알림 데이터는 SQLite 데이터베이스 파일로 저장되며, 주요 저장 경로는 다음과 같습니다:
C:\Users\<user name>\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db
이 데이터베이스는 SQLite 형식으로 저장되며, 다음과 같은 주요 테이블을 포함합니다:
- Notifications → 각 알림의 상세 정보 저장
- NotificationHandler → 알림을 생성한 응용 프로그램 정보 저장
- UserAction → 사용자가 알림에 대해 취한 행동 기록 (예: 무시, 확인, 클릭 등)
'Digital Forensics > Artifact' 카테고리의 다른 글
Linux Artifact (0) | 2025.03.03 |
---|---|
Windows 10 vs Windows 11 Artifact 비교 (0) | 2025.02.18 |
ThumbnailCache, IconCache, Windows Timeline (0) | 2024.05.30 |
브라우저 아티팩트 개념, 실습 (0) | 2024.05.30 |
Prefetch, MUICache, AmCache&ShimCache (0) | 2024.05.30 |