gardenia02 님의 블로그

Jumplistjumplist란?윈도우7부터 새롭게 추가된 아티펙트로, 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일이다. 저장 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations : 운영체제가 자동으로 남기며, 최근 사용목록 및 자주 사용되는 항목을 알 수 있다.CustomDestinations : 응용프로그램이 자체적으로 남기며, 작업목록 항목을 알 수 있다.  종류recent(최근 항목)응용프로그램을 통해 최근 열람한 파일 frequent(자주 사용하는 항목)응용프로그램을 통해 자주 열람하는 파일  pinned(사용자 고정)응용프로그램의 사용이 종료되어도 사용자가 작업 표시줄..

Thumbnail cachethumbnail cache란?썸네일은 어떤 파일에 대한 미리보기를 나타내주는 것이다. 그래픽 이미지를 축소하였기 때문에 많은 양의 이미지를 빠르게 탐색할 수 있다. 윈도우는 자체적으로 파일의 썸네일을 생성하여 데이터베이스 형식으로 보관한다. 미리보기를 한 번이라도 했다면 썸네일이 데이터베이스에 저장되는데, 원본 파일이 삭제되더라도 썸네일은 삭제되지 않는다. thumbnail cache 저장경로 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db 각 파일은 bmp, png, jpg 파일을 여러 개 가지고 있다.  thumbnail cache의 활용 그래픽이나 동영상, 문서 등의 파일의 과거 존재 여부를 ..

web artifact사용자로 인해 웹 어플리케이션과 웹 브라우저가 통신하며 생성된 흔적이다.웹 브라우저 쿠키, 웹 브라우저 히스토리, 웹 브라우저 다운로드 목록, 웹 캐시 등을 통해 웹 사용 내역을 조사할 수 있다.cookies쿠키는 웹 서버가 생성하여 웹 브라우저로 전송하는 작은 파일 정보이다.호스트 이름과 경로, 쿠키 수정시간, 쿠키 만료 시간, 값, 마지막 접근 시간 등을 알 수 있다. tool: ChromeCookiesView경로: %USERPROFILE%\AppData\Local\google\chrome\user data\default\Cookies download file list웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드되는 파일의 목록을 관리하고 있다. 파일..

Prefetch윈도우 XP 이후 운영체제에서 제공하는 메모리 관리 정책이다. 이 파일은 특정 프로그램이 실행될 때 필요한 파일과 데이터를 미리 기록하여, 다음 실행 시 프로그램 로딩 시간을 줄이는 역할을 한다. prefetch 파일의 주요 가능은 다음과 같다.프로그램 실행 속도 향상: 프로그램 실행 시 필요한 파일과 데이터를 미리 로드하여 빠르게 실행할 수 있게 해준다. 사용자 경험 최적화: 자주 실행되는 프로그램들의 정보를 미리 캐싱해 둠으로써, 시스템 성능을 최적화한다.진단 및 포렌식 자료: Prefetch 파일은 프로그램 실행 기록을 저장하기 때문에 시스템 진단이나 디지털 포렌식에서 유용한 정보를 제공한다. prefetch 파일명은 *.pf이고, C:\Windows\Prefetch에 저장된다. 또한..

이벤트 로그컴퓨터 시스템에서 이벤트 로그는 하드웨어와 소프트웨어 이벤트에 대한 정보를 기록한다. 이 중에서 특히 windows 이벤트 로그는 일반적으로 세 가지 범주 중 하나로 분류된다.시스템 관련 이벤트(System.evtx)운영 체제 자체에서 발생하는 이벤트보안 이벤트(Security.evtx)로그인/로그아웃 이벤트애플리케이션 이벤트(Application.evtx)Windows에서 실행 중인 애플리케이션이 기록한 이벤트 이벤트 로그 분석 도구: EvtxECmd이벤트 로그를 분석하는 도구 중 대표적인 것이 EvtxECmd이다. 이 툴의 사용법을 알아보자.  Security 로그 파일을 파싱해보자. 여기서 주의할 점은 powershell을 관리자 권한으로 실행시켜야 한다는 점이다. 이벤트 로그의 경로는 ..