[지금 무료]기초부터 따라하는 디지털포렌식| 훈지손 - 인프런 강의
현재 평점 4.9점 수강생 5,566명인 강의를 만나보세요. 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다. 디지털포
www.inflearn.com
바로가기(.LNK)
바로가기
- Windows Shortcut
- .lnk 확장자
생성하는 방법
- 사용자가 직접 생성
- 프로그램 설치 시에 생성
- 운영체제가 자동으로 생성
바로가기 위치
- 바탕 화면
- %UserProfile%\Desktop
- 시작 메뉴
- %ProgramData%\Microsoft\Windows\Start Menu
- %UserProfile%AppData\Roaming\Windows\Start Menu
- 최근 실행
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
- 빠른 실행
- %ProgramData%\Microsoft\Internet Explorer\Quick Launch
- %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
- %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
바로가기(.LNK) 실습
1. FTK Imager 이용하여 추출
- %UserProfile%\Desktop
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
우클릭 - export file을 통해 local 컴퓨터에 바로가기 다운로드 가능
2. LECmd 이용하여 분석
LECmd 다운로드 링크
=> 생성시간, 상대경로, 절대경로, 사이즈, 환경변수 등의 정보를 확인 가능
CLI 사용법
-h: 도움말(사용법)
-f <f>: file to process
-d:<d>: Directory to recursively process
--html: Directory to xhtml formatted results to. Be sure to include the full path in double quotes
--csv: Directory to csv formatted results to. Be sure to include the full path in double quotes
.\LECmd.exe -d .\Recent\ --csv [파일 경로]
Jumplist
Jumplist
- 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
종류
- Automatic: 운영체제가 자동으로 남기는 항목
- custom: 응용프로그램이 자체적으로 관리하는 항목
경로
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
Jumplist 실습
1. FTK Imager 이용하여 추출
위 경로를 확인
우클릭 - export file을 통해 local 컴퓨터에 JumpList 다운로드 가능
2. JumpList Explorer 이용하여 분석
JumpList Explorer 다운로드 링크
1) JumpList Explorer에서 1에서 추출한 파일 업로드
2) App ID에 따라 JumpList 확인 가능(알려진 파일에 대해서만 설명이 존재)
Prefetch
Prefetch
- 응용 프로그램의 빠른 실행을 위해서 존재하는 파일(CPU, RAM, HDD)
- 응용 프로그램을 실행할 때에 생성
- 실행 파일 이름, 경로
- 실행 파일의 실행 횟수
- 실행 파일의 마지막 실행 시간
- 실행 파일의 최초 실행 시간
Prefetch 실습
- 프리패치 경로
%SystemRoot%\Prefetch - WinPrefetchView 이용하여 분석
WinPrefetchView 다운로드 링크
무결성 유지를 위해서 옵션을 통해 파일을 열면 파일이 변하지 않음
삭제 여부와 상관없이 실행되었던 파일의 경로를 확인 가능
=> 실행 흔적, 실행 횟수, 경로, 마지막 실행 시간 등 확인 가능
MUICache
MUICache
- Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
- MUI(Multilingual User Interface)
- 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
- 응용 프로그램을 실행하면 캐시에 기록이 남음
- 실행 파일 경로, 이름
- 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
MUICache 실습
- MUICache 경로(레지스트리 안에 존재)
- HKCU\Software\Classes\Local Settings\MuiCache
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- MUICache View 이용하여 분석
MUICache 다운로드 링크
타임라인은 기록되지 않아 prefetch 등과 교차 검증이 필요
AmCache & ShimCache
AmCache & ShimCache
- 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
- 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 -> 호환성 문제 발생
- Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
- AmCache
- 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
- ShimCache(AppCompatCache)
- 실행 파일의 이름, 경로, 크기 정보 확인
- 마지막 실행 시간 확인
AmCache & ShimCache 실습
- AmCache & ShimCache 경로
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
- AmcacheParser, AppCompatCacheParser 이용하여 분석
AmcacheParser, AppCompatCacheParser 다운로드 링크
=> 응용 프로그램, 경로, 사이즈, 해시값(변경 여부) 등 확인 가능
Web Browser Artifacts
Web Browser
- 인터넷을 이용하기 위해 실행하는 응용 프로그램(chrome, Edge, whale)
- 브라우저를 통해 하는 일들
- 웹 검색
- 로그인
- 파일 다운로드
- 영상 시청
Web Browser Artifacts
- History: 방문한 URL, 방문 횟수, 방문 시각 등
- Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
- Cookie: 사용자 데이터, 자동 로그인 들
- Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등
Tools & Practice
- 브라우저별 경로
- Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
- Chrome 아티팩트 분석
History(데이터가 가장 많이 남아 있는 테이블), Cache, Top Sites, Shortcuts, Bookmarks, Last Tabs - DB Browser for SQLite
DB Browser for SQLite 다운로드 링크
테이블 별로 정보(성공 여부, 접근 시간, URL 등)를 확인 가능
- Chrome 아티팩트 분석
- Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
- Edge 아티팩트 분석
WebCacheV01.dat(ESEDatabase 구조) - ESEDatabaseView
ESEDatabaseView 다운로드 링크
WebCacheV01.dat 파일은 바로 열 수 없으므로 FTK imager 추출 후 분석
- Edge 아티팩트 분석
- Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
- Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
- 상용 도구 BrowsinHistoryView
BrowsinHistoryView
여러 브라우저 확인 가능(History, Cache, Cookie, Download list 중 History에 대해서만 보여줌)
'4-1. 2025-2 심화 스터디 > 디지털 포렌식 1팀' 카테고리의 다른 글
| [2025.11.15] 4주차 활동_ctrl+z (0) | 2025.11.22 |
|---|---|
| [2025.11.8] 3주차 활동_ctrl+z (0) | 2025.11.17 |
| [2025.10.04] 2주차 활동_ctrl+z (0) | 2025.10.08 |
| [2025.09.27] 1주차 활동_ctrl+z (0) | 2025.09.27 |