본문 바로가기
4-1. 2025-1 심화 스터디/디지털 포렌식

[2025.05.24] 포렌시크 8주차 활동

eundoong325 2025. 5. 24. 12:43

 

 

 

<6주차 자료 Windows 파트부터>

02 Windows Timeline

• Windows에서 지원하는 Timeline 기능
• 사용자가 실행하고 있는 응용프로그램
• 사용자가 과거에 실행했던 응용프로그램
• 최대 30일의 사용자 행위를 보관

• Windows + Tab 버튼

 

 


• 설정 활성화
• ‘이 장치에 내 활동 기록 저장’ 설정

• Timeline 데이터 저장 경로
• 유저 계정에 따라 경로가 달라짐
• 로컬 계정: L.{로컬 계정명}
• 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
• Office 365 & AAD 계정: AAD.{보안 식별자(SID)}
• %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

 


• ActivitiesCache.db 구조
   • Activity: 응용프로그램 실행 기록, 실행 시간 등 보통의 Timeline 데이터
   • ActivityOperation: 생성 혹은 삭제 이벤트에 대한 Timeline 데이터
   • Activity_PackageId: 앱별 패키지 이름

 



• Windows 10에서 2018년부터 추가된 기능
   • Windows 11부터는 지원 중단
   • 그러나, 동일한 경로에 데이터가 생성됨을 확인
   •‘활동 기록’ 메뉴 역시 그대로 존재

• 포렌식적 의미
   • 시간에 따른 사용자의 행위 추적
   • 응용프로그램의 구체적인 사용 시각을 알 수 있음

 

 


Windows Timeline - Practice

• 저장 경로 확인
   • 계정명 확인
   • %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{계정명}\ActivitiesCache.db

• DB Browser for SQLite 활용

 

 

 

 

 

 

 

<7주차>

01 Event Logs

• 로그란
   • 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것

• 이벤트 로그(Event Logs)
   • Windows 운영체제에서 시스템의 로그를 남기는 방식
   • 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있음
   • 시스템 로그, 응용프로그램 로그, 보안 로그 등이 존재



• 이벤트 로그(Event Logs)
   • 응용 프로그램 로그
   • 보안 로그
   • Setup 로그
   • 시스템 로그
   • 응용프로그램 및 서비스 로그



• 응용프로그램(Application)
   • 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
   • 기록할 이벤트유형은 응용프로그램 개발자가 결정
• 보안(Security)
   • 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트
   • 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)
• 설치 (Setup)
   • 응용프로그램 설치 및 설정과 관련한 이벤트 기록
• 응용 프로그램 및 서비스 로그
   • Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그
   • Windows Defender(디펜더), Partition Diagnostic(USB 연결 흔적), WLAN Autoconfig(Wifi 연결) 등

 


• 이벤트 로그 경로
   • C:\Windows\System32\winevt\Logs

 


• 이벤트 ID
   • 각각의 이벤트 로그는 이벤트 ID를 가짐
   • 이벤트 ID 별로 나타내는 활동이 유사함
     • ex) Logon: 4624, Logoff: 4634



• 어떤 이벤트 ID를 찾을 것인가?
   • Spotting the Adversary with Windows Event Log Monitoring, NSA
   • Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
   • 윈도우 이벤트 로그(EVTX) 분석 및 포렌식 활용방안, 강세림

 



• 이벤트 ID 검색 사이트
   • https://kb.eventtracker.com/
   • https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx
   • https://eventid.net/ (현재 지원 중단)



• 이벤트 ID를 찾아보자!
   • 이벤트 뷰어 “사용자 지정 보기 만들기”

• 소프트웨어 설치, 업데이트 및 삭제
   • 6,7045,1022,1033, 903-908,800,2,19

• 사용자 로그인
• 4740,4728,2732,4756,4735,4624,4625,4648

 

 

 

 

 

02 VSS

• VSS(Volume Shadow Copy Service)
   • 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

• 시스템 복원 기능
   • 컴퓨터 전체를 복원 지점으로 되돌리기
   • 특정 파일/폴더를 이전 버전으로 되돌리기

 



• VSS 설정
   • 복원 지점 만들기 검색
   • 구성 à 시스템 보호 사용 설정
    /구성 à 디스크 공간 설정
   • 만들기 à 시스템 복원



• VSS 확인
   • vssadmin list shadows
   • mklink /d <링크폴더> <섀도 복사본 볼륨>
   • 파일 탐색기로 접근하여 확인

• ShadowExplorer
   • https://www.shadowexplorer.com/downloads.html

 

 

 

 

03 Windows Search

• Windows 검색 기능
   • 작업표시줄 아이콘 클릭 or Windows + S 단축키



• Windows Indexing
   • 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행함
   • 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱됨
   • 텍스트가 포함된 파일의 경우, 콘텐츠가 인덱싱됨



• Windows.edb
   • Windows Search에 사용하기 위한 Indexing 정보 저장
   • 경로: %ProgramData%\Microsoft\Search\Data\Applications\Windows

• Windows.edb 수집
   • 온라인 상태에서 수집할 때는 Windows Search (Wsearch) 서비스를 종료시켜야 함
   • 서비스 동작 중 복사하거나 포렌식 도구로 수집 시 정상적인 구조가 아닌 “Dirty” 상태로 수집됨
   • Dirty: 응용프로그램이 데이터베이스를 사용하는 중의 상태
   • Clean: 데이터베이스 API를 사용하여 트랜잭션을 모두 처리한 상태

 

 


Windows Search - Practice

• Windows.edb 수집 과정
   • Windows Search 서비스 ‘사용 안 함’
   • Windows Search 서비스 ‘중지’
   • 이후에 Windows.edb 복사

• Clean shutdown 확인
   • esentutl /m <파일이름> | findstr State
   • State: Clean Shutdown 확인

 


• ESEDatabaseView
   • ESE Database를 보여주는 도구

• WinSearchDBAnalyzer
   • https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html

 

 

 

 

04 Recycle Bin

 



• 휴지통(Recycle Bin)
   • 파일을 삭제하고, 복원하거나 영구 삭제할 수 있음

• 휴지통 폴더 확인
   • 파일탐색기 보기 설정 변경



• 휴지통 폴더는 볼륨 단위로 생성
   • 로컬 디스크로 인식되는 경우에 생성
   • USB 등 이동식 디스크, 네트워크 드라이브 등은 생성되지 않음

•  ”휴지통” 아이콘
• 모든 볼륨의 휴지통 폴더를 통합하여 보여줌
• 그러나 하나의 폴더로 존재하는 것은 아님



• 휴지통 아티팩트(파일 삭제 시)
   • 휴지통 폴더 경로: <Volume>\$Recycle.Bin\<SID>\
   • 삭제된 파일: $R<임의문자열 6자리>.<원본 파일 확장자>
   • 삭제 관련 메타데이터: $I<임의문자열 6자리>.<원본 파일 확장자>
     • 원본 파일의 경로, 휴지통으로 삭제된 시각 등



• 휴지통 아티팩트(파일 복원시)
   • 삭제된 파일($R)은 사라짐
   • 삭제 관련 메타데이터($I)는 남아 있음

 



• 휴지통 아티팩트(휴지통 비우기)
   • 삭제된 파일($R) 및 삭제 관련 메타데이터($I) 모두 삭제

 


• 휴지통 아티팩트 실습
   • 테스트용 폴더 및 파일 생성
   • 1) 삭제 2) 복구 3) 휴지통 비우기 실습

• 메타데이터 분석
   • Windows File Analyzer, https://www.mitec.cz/wfa.html
   • 파일 경로, 삭제된 시점, 크기 확인

 

 

 

 

 

 

 

 

'4-1. 2025-1 심화 스터디 > 디지털 포렌식' 카테고리의 다른 글

[2025.05.16] 포렌시크 7주차 활동  (0) 2025.05.19
[2025.04.05] 포렌시크_4주차_활동  (0) 2025.04.05
[2025.03.29] 포렌시크_3주차_활동  (0) 2025.03.29
[2025.03.22] 포렌시크_2주차_활동  (1) 2025.03.22

'4-1. 2025-1 심화 스터디/디지털 포렌식' Related Articles

티스토리툴바