본문 바로가기

분류 전체보기218

[Windows Forensic Artifacts - 7] 웹 아티팩트 웹 아티팩트 웹 서버와 쌍방향 통신을 하면서 생성되는 흔적 대부분의 웹 아티팩트는 웹 브라우저(인터넷을 이용하기 위해 실행하는 응용 프로그램 : firefox, chrome, Edge, Whale 등) 로그 종류 웹 브라우저 캐시 웹 사이트 방문 시, 사이트로부터 자동으로 다운받은 컨텐츠 컨텐츠 캐시를 통해 재 방문 시 로딩 속도 향상 캐시 데이터 다운받은 데이터 : 이미지 파일, 텍스트 파일, 아이콘, HTML 파일, XML 파일, 스크립트 등 캐시 인덱스 정보 캐시 데이터 위치, 다운로드 URL, 다운로드 시간, 다운로드 데이터 크기 등 💡 다운로드 URL + 다운로드 시간 : 특정 시간에 해당 사이트 이력 ⇒ 다운로드 URL + 키워드 검색 : 중요 사이트 방문 이력 확인 ⇒ HTML 캐시 파일 :.. 2023. 3. 12.

[Windows Forensic Artifacts - 6] AmCache & ShimCache 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생 Windows에서는 프로그램 호환성 관리자를 이용해 이 문제를 해결 문제를 해결하는 과정에서 Amcache와 ShimCache를 사용하게 됨 AmCache 모든 실행 파일의 이름, 경로, 크기, 해시값 확인 프리패치 파일과 병행하여 프로그램의 전체적인 타임라인 구성 가능 정보 경로 %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve 실습 AmacheParser 자동 수집 지원하지 않기 때문에 ftk로 파일 추출 log까지 같이 추출 cmd 명령어로 AmcacheParser.exe -f Amcache.hve --csv ./ Unassociat.. 2023. 3. 12.

[Windows Forensic Artifacts - 5] MUICache MUI(Multilingual User Interface) Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 → 다중 언어를 지원하기 위해 프로그램 이름을 캐시함 (윈도우에서 사용되는 기본 프로그램과 평소 실행하지 않았던 프로그램 목록도 포함) 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장 응용프로그램을 실행하면 실행 파일 경로, 이름이 남으며 실행파일의 삭제/경로 변경 여부 상관없이 기록이 지워지지 않음(prefetch와 동일) 하지만 시간은 남지 않아 타임라인 구성은 어려움 다른 아티팩트랑 교차검증 할 때 사용 정보 레지스트리 속에 존재 경로 HKCU\Software\Classes\Local Settings\MuiCache : windows에서 기본으로 제공해주는 HKCU\Soft.. 2023. 3. 12.

새로운 windows 11 Pro(22H2) 아티팩트 발견 https://aboutdfir.com/new-windows-11-pro-22h2-evidence-of-execution-artifact/ 위 블로그 내용 번역본 ! 배경 디포 디스코드 서버가 있는데, windows11에서 C:\\Windows\\appcompat\\pca 의 경로가 어디인지 누군가 물어봤음. Amcache가 C:\\Windows\\appcompat\\Programs\\Amcache.hve에 있기 때문에 익숙한 폴더 경로처럼 보일 수 있음. PCA란? Windows 8부터 사용된 Program Compatibility Assistant PCA는 sc query pcasvc로 쿼리를 날릴 수 있는 pcasvc 이름의 윈도우즈 서비스를 가짐. 발견된 새로운 아티팩트는 항상 존재하는 것은 아니.. 2023. 1. 10.

이전 1 2 3 4 5 ··· 55 다음

728x90

티스토리툴바