본문 바로가기

Forensics/윈도우 아티팩트9

[Windows Forensic Artifacts - 5] MUICache MUI(Multilingual User Interface) Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 → 다중 언어를 지원하기 위해 프로그램 이름을 캐시함 (윈도우에서 사용되는 기본 프로그램과 평소 실행하지 않았던 프로그램 목록도 포함) 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장 응용프로그램을 실행하면 실행 파일 경로, 이름이 남으며 실행파일의 삭제/경로 변경 여부 상관없이 기록이 지워지지 않음(prefetch와 동일) 하지만 시간은 남지 않아 타임라인 구성은 어려움 다른 아티팩트랑 교차검증 할 때 사용 정보 레지스트리 속에 존재 경로 HKCU\Software\Classes\Local Settings\MuiCache : windows에서 기본으로 제공해주는 HKCU\Soft.. 2023. 3. 12.

[Windows Forensic Artifacts - 4] Jumplist Jumplist 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 lnk와 밀접하게 연관 jumplist 제공을 하는 게 있고 안하는게 있다. 종류 Automatic : 운영체제가 자동으로 남기는 항목 Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations 실습 JumpList Explorer 우선 FTKimager에서 두 파일 가져오고, JumpList Explorer에서 불러온다 불러올 때는 Ctrl+a로 전체 선택 이렇게 에러.. 2023. 1. 10.

[Windows Forensic Artifacts - 3] LNK 바로가기(LNK) Windows Shortcut .lnk 확장자 원본파일 경로 포함 생성방법 사용자가 직접 생성 (우클릭 바로가기 만들기) 프로그램 설치 시 생성(설치 시 체크) 운영체제가 자동으로 생성(정상적으로 사용하는 과정에서) 바로가기 파일이 생성되는 경로 바탕 화면 일반적인 사용자들이 바탕화면에 생성해서 많이 사용 설치하는 과정에서 바탕화면에 추가 %UserProfile%\Desktop 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 빠른 실행 .. 2023. 1. 10.

[Windows Forensic Artifacts - 2] Prefetch 윈도우 프리패치 - 윈도우 XP부터 운영체제에서 제공하는 메모리 관리 기법 중 하나 메모리 관리 기법에는 프리패치 외에 가상 메모리, 슈퍼패치, 레디부스트가 있다. - 실행파일을 메모리로 로딩 시 효율을 올리기 위해 개발 컴퓨터에 장착된 드라이버와 서비스, 폴더 정보, 어플리케이션 정보 등을 미리 읽음 -> 사용자가 파일을 실행할 경우 미리 저장된 정보를 메모리에서 실행하여 실행 속도를 향상 -> 즉, 응용 프로그램을 빨리 실행시키기 위해 이전에 사용했던 정보를 저장, 불러오기를 통해 속도를 높인다. (인터넷 브라우저 캐시와 비슷) - 응용 프로그램의 이름, 실행 횟수, 마지막 실행 시간, 볼륨 정보 등 저장 Layout.ini 파일에는 프리패치 파일에 대한 목록 저장 - 윈도우 부팅, 응용 프로그램 시.. 2022. 4. 3.

이전 1 2 3 다음

728x90

티스토리툴바