본문 바로가기
Forensics/윈도우 아티팩트

[Windows Forensic Artifacts - 9] Windows Timeline

by sseddi 2023. 3. 12.
728x90

윈도우 10부터 추가

Timeline

최근 한 달간 내용만 저장, 파일, 폴더, 실행, 브라우저 등 기록

  • 사용자가 실행하고 있는 응용프로그램
  • 사용자가 과거에 실행했던 응용프로그램
  • 인터넷 검색 기록 확인
  • 자주 열어본 파일 확인
  • 사용자의 지난 활동 추적

⇒ 사건이 일어난 시점을 중심으로 생성, 수정, 삭제, 접근한 파일 분석

최대 30일의 사용자 행위를 보관

실행방법

Windows +Tab 버튼

정보

  • 레지스트리 경로
    • Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<UserName>\ActivitiesCache.db
    • 여기서 계정명 확인해야 함
    • 유저 계정에 따라 경로가 달라짐 • 로컬 계정: L.{로컬 계정명} • 마이크로소프트 계정: {마이크로소프트 식별자(CID)} • Office 365 & AAD 계정: AAD.{보안 식별자(SID)} 
  • SQLite3 DB Type

 

설정

"Windows 에서 PC의 내 활동을 수집하도록 허용" 활성화 : 30일 동안 윈도우 타임라인에서 사용자 활동을 확인할 수 있으며 해당 기기에서 그 작업을 다시 시작할 수 있음

"Windows에서 이 PC의 내 활동을 클라우드로 동기화하도록 허용" 활성화 : 해당 기기 뿐만 아니라 다른 기기에서도 해당 작업 내역을 확인하고 다시 시작할 수 있음

구조

ActivitiesCache.db

  • Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
  • ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
  • Activity_PackageId: 앱별 패키지 이름

실습

DB Browser for SQLite 사용

데이터 보기 - Activity 테이블

ActivityOperation

생성이나 삭제한 데이터가 남는데

로컬계정이라 안남았나? 해서 봤는데 다른 오피스 계정 넣어도 남는 데이터가 없었음

왜 안남았을까 ..?

 

근데 ftk로 파일 추출한 뒤에 넣어줬더니 보임!

포렌식적 의미

  • 시간에 따른 사용자의 행위 추적
  • 응용프로그램의 구체적인 사용 시각을 알 수 있음

Win10부터 2018년부터 추가된 기능

  • Win11에서는 지원 중단
  • 그러나 동일한 경로에 데이터 생성 (활동 기록 존재)

reference

기초부터 따라하는 디지털포렌식

http://www.forensic-artifact.com/windows-forensics/timeline

728x90

댓글