분류 전체보기218 [Turla] “NewPass” appears on the APT threat scene https://boggy-sun-2ec.notion.site/Venomous-Bear-updates-its-arsenal-NewPass-appears-on-the-APT-threat-scene-39d588f3b6a847ba94ce85148c7ca999 Venomous Bear updates its arsenal: “NewPass” appears on the APT threat scene Venomous Bear == Turla boggy-sun-2ec.notion.site 틀린 부분, 보완 사항 댓글로 많이 알려주세요 🙂 2023. 5. 1. [Turla] New backdoor delivered via Armenian watering holes https://boggy-sun-2ec.notion.site/Tracking-Turla-New-backdoor-delivered-via-Armenian-watering-holes-5d8787806dbe4a78973f0399132d3fde Tracking Turla : New backdoor delivered via Armenian watering holes Reference boggy-sun-2ec.notion.site 틀린 부분, 보완 사항 댓글로 많이 알려주세요 🙂 2023. 5. 1. [Windows Forensic Artifacts - 9] Windows Timeline 윈도우 10부터 추가 Timeline 최근 한 달간 내용만 저장, 파일, 폴더, 실행, 브라우저 등 기록 사용자가 실행하고 있는 응용프로그램 사용자가 과거에 실행했던 응용프로그램 인터넷 검색 기록 확인 자주 열어본 파일 확인 사용자의 지난 활동 추적 ⇒ 사건이 일어난 시점을 중심으로 생성, 수정, 삭제, 접근한 파일 분석 최대 30일의 사용자 행위를 보관 실행방법 Windows +Tab 버튼 정보 레지스트리 경로 Users\\AppData\Local\ConnectedDevicesPlatform\L.\ActivitiesCache.db 여기서 계정명 확인해야 함 유저 계정에 따라 경로가 달라짐 • 로컬 계정: L.{로컬 계정명} • 마이크로소프트 계정: {마이크로소프트 식별자(CID)} • Office 36.. 2023. 3. 12. [Windows Forensic Artifacts - 8] Thumbnail & Icon cache Thumbnail 미리보기 파일 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것 윈도우 폴더 미리보기 기능에 사용 초기 방문 시 썸네일을 캐시해두고 재방문 시 캐시된 데이터 보여줌 → 성능 향상 한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않음 썸네일 지원 파일 JPEG, BMP, GIF, PDF, PPTX, DOCX등 정보 경로 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 파일명 thumbcache_{크기}.db Icon cache 탐색기 아이콘 파일 형식에 따라 표현되는 다양한 아이콘 아이콘도 미리 캐시해둔 후 재방문 시 빠르게 로드 정보 경로 %UserProfile%\AppData\Local\Microsoft.. 2023. 3. 12. 이전 1 2 3 4 ··· 55 다음 728x90
