728x90
윈도우 10부터 추가
Timeline
최근 한 달간 내용만 저장, 파일, 폴더, 실행, 브라우저 등 기록
- 사용자가 실행하고 있는 응용프로그램
- 사용자가 과거에 실행했던 응용프로그램
- 인터넷 검색 기록 확인
- 자주 열어본 파일 확인
- 사용자의 지난 활동 추적
⇒ 사건이 일어난 시점을 중심으로 생성, 수정, 삭제, 접근한 파일 분석
최대 30일의 사용자 행위를 보관
실행방법
Windows +Tab 버튼
정보
- 레지스트리 경로
- Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db
- 여기서 계정명 확인해야 함
- 유저 계정에 따라 경로가 달라짐 • 로컬 계정: L.{로컬 계정명} • 마이크로소프트 계정: {마이크로소프트 식별자(CID)} • Office 365 & AAD 계정: AAD.{보안 식별자(SID)}
- SQLite3 DB Type
설정
"Windows 에서 PC의 내 활동을 수집하도록 허용" 활성화 : 30일 동안 윈도우 타임라인에서 사용자 활동을 확인할 수 있으며 해당 기기에서 그 작업을 다시 시작할 수 있음
"Windows에서 이 PC의 내 활동을 클라우드로 동기화하도록 허용" 활성화 : 해당 기기 뿐만 아니라 다른 기기에서도 해당 작업 내역을 확인하고 다시 시작할 수 있음
구조
ActivitiesCache.db
- Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
- ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
- Activity_PackageId: 앱별 패키지 이름
실습
DB Browser for SQLite 사용
데이터 보기 - Activity 테이블
ActivityOperation
생성이나 삭제한 데이터가 남는데
로컬계정이라 안남았나? 해서 봤는데 다른 오피스 계정 넣어도 남는 데이터가 없었음
왜 안남았을까 ..?
근데 ftk로 파일 추출한 뒤에 넣어줬더니 보임!
포렌식적 의미
- 시간에 따른 사용자의 행위 추적
- 응용프로그램의 구체적인 사용 시각을 알 수 있음
Win10부터 2018년부터 추가된 기능
- Win11에서는 지원 중단
- 그러나 동일한 경로에 데이터 생성 (활동 기록 존재)
reference
728x90
'Forensics > 윈도우 아티팩트' 카테고리의 다른 글
[Windows Forensic Artifacts - 8] Thumbnail & Icon cache (0) | 2023.03.12 |
---|---|
[Windows Forensic Artifacts - 7] 웹 아티팩트 (0) | 2023.03.12 |
[Windows Forensic Artifacts - 6] AmCache & ShimCache (0) | 2023.03.12 |
[Windows Forensic Artifacts - 5] MUICache (0) | 2023.03.12 |
[Windows Forensic Artifacts - 4] Jumplist (0) | 2023.01.10 |
댓글