본문 바로가기

Forensics

 (24)
구글 Chrome 브라우저 Chrome 로그 파일들은 밑에 경로에 저장되어 있다.내용저장 위치History downloadC:\Users\[user]\AppData\Local\Google\Chrome\User Data\Default\History 파일CookieC:\Users\[user]\Appdata\Local\Google\Chrome\User Data\Default\Cookies 파일CacheC:\Users\[user]\Appdata\Local\Google\Chrome\User Data\Default\Cache\ History, Cookie, Download List 정보는 SQLite Database 파일 형태로 저장되어 있으며 Download List 정보는 History 파일 안에 함께 저장되어 있다.  1. Chrome..
웹 브라우저 포렌식 웹 브라우저(Web Browser)는 인터넷을 통해 뉴스, 맛집, 교통 정보 등 다양한 정보를 검색하고 파일을 다운로드하며, 전자메일 사용, 금융 거래, 소셜 미디어 활동 등을 가능하게 하는 프로그램이다. 사용자와 웹 서버(Web Server) 간의 쌍방향 통신을 지원하며, HTML 문서, 이미지, 영상, 음성 등을 수신, 전송 및 표현하는 역할을 한다. 웹 브라우저 포렌식을 통해 브라우저의 종류, 방문한 사이트, 방문 시간, 방문 횟수, 자주 방문하는 사이트, 검색어, 다운로드 기록 등의 정보를 확인할 수 있다. 웹 브라우저와 관련된 주요 아티팩트에는 히스토리 정보, 쿠키 정보, 캐시 정보, 다운로드 정보, 세션 정보, 자동완성 정보 등이 있다. 1) History사용자가 방문한 웹 사이트의 기록으로 ..
이벤트 로그 분석 윈도우 운영체제는 시스템의 전반적인 동작을 기록하고 저장하며, 운영 중 발생하는 이벤트를 로그 형태로 관리한다. Windows Vista부터 이벤트 로그는 XML 기반의 EVTX 파일로 저장된다. 이벤트는 시스템 자체에서 발생하거나 사용자의 특정 행위에 의해 생성될 수 있다. 대표적인 이벤트로는 외부 장치 연결, 응용 프로그램 설치 및 제거, 공유 폴더 사용 및 해제, 프린터 연결 및 해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일 및 레지스트리 조작, 프로세스 생성 등이 있다. 이러한 이벤트가 로그로 남기 때문에 시스템 및 사용자 활동을 분석하는 데 활용할 수 있다. 이벤트 로그를 확인하려면 윈도우 탐색기에서 "내 PC"를 선택한 후 오른쪽 마우스 버튼을 클릭하고 "관리"를 선택하면 된다. 여기서 ..
ShimCache (AppCompatCache) 운영체제의 버전이 변경될 때마다 새로운 API가 추가되거나 기존 API가 변경 및 삭제되면서 응용 프로그램이 정상적으로 실행되지 않는 호환성 문제가 발생할 수 있다. 이를 해결하기 위해 운영체제는 응용 프로그램 호환성 데이터베이스(Application Compatibility Database)를 사용한다. 이 호환성 데이터베이스는 Appfix Package라는 형식의 .sdb 파일로 존재하며, 심 데이터베이스(Shim Database, SDB)라고도 불린다. SDB 파일은 특정 응용 프로그램의 호환성 문제를 해결하기 위해 필요한 패치를 포함하고 있으며, 운영체제가 실행될 때 자동으로 적용된다. 운영체제는 SDB 파일을 통해 특정 프로그램이 실행될 때 필요한 수정 사항을 적용하여 원활한 실행을 보장한다. ..
Amcache 윈도우 8부터 Amcache.hve 파일은 윈도우 7에서 사용되던 RecentFileCache.bcf 파일을 대체하는 레지스트리 하이브 파일이다. 이 파일은 프로그램 호환성 관리자와 관련이 있으며 응용 프로그램 실행 정보를 저장한다. Amcache 파일에는 응용 프로그램 실행 경로, 최초 실행 시각, 삭제 시각, 설치된 실행 파일의 해시 정보, 연결된 USB 및 블루투스 장치 정보가 포함된다. Amcache 파일은 C:\Windows\AppCompat\Programs\Amcache.hve 경로에 저장된다. 이 파일은 시스템 보호를 받으므로 직접 접근이 어려울 수 있다. 응용 프로그램의 실행 흔적을 분석하는 방법에는 여러 가지가 있다. 프리패치 파일을 분석하면 실행된 프로그램의 경로와 마지막 실행 시간을 ..
IconCache IconCache.db 파일은 Windows 8 이후 버전에서 아이콘 이미지를 데이터베이스 형태로 저장하는 파일이다. 이 파일은 사용자가 열람하거나 실행한 응용 프로그램들의 아이콘 캐시를 포함하고 있으며, 한 번 저장된 아이콘 캐시는 해당 프로그램이 삭제되더라도 유지된다. 따라서 IconCache.db에 특정 아이콘이 존재한다면, 해당 프로그램이 한 번 이상 실행되었음을 의미한다. 이를 분석하면 삭제된 응용 프로그램의 존재 여부를 확인할 수 있으며, USB와 같은 외부 저장 매체를 통해 실행된 프로그램의 흔적도 파악할 수 있다. 또한, 포렌식 분석 시 악성코드 실행 여부나 포렌식 도구 사용 흔적을 찾는 데 활용할 수 있다. IconCache.db 파일을 추출한 후, 바이너리 편집기(HxD)나 전용 분석 ..
Thumbnail 썸네일(Thumbnail)은 원본 이미지를 축소하여 빠르게 검색할 수 있도록 해주는 기능이다. 이는 다양한 프로그램에서 사용되며, 대표적으로 윈도우 탐색기(Explorer)가 있다. 운영체제마다 지원하는 파일 형식은 다르지만, 일반적으로 이미지, 동영상, PDF, HTML 등의 미리 보기를 제공한다. 사용자가 특정 파일을 처음 열거나 해당 파일이 포함된 폴더를 탐색할 때, 시스템은 해당 파일의 썸네일을 생성하여 저장한다. 이후 다시 접근할 경우, 기존에 저장된 썸네일을 불러와 미리 보기를 제공함으로써 속도를 향상한다. 썸네일은 원본 파일이 삭제되더라도 시스템에 남아 있을 수 있다. 따라서 포렌식 분석 시 삭제된 파일의 흔적을 찾는 중요한 증거가 될 수 있다. 경로는 Users\[User Name]\App..
점프 리스트 Windows 7부터 Jump List 기능이 도입되면서 사용자의 접근성과 편의성이 향상되었다. 응용 프로그램을 실행하면 작업 표시줄에 해당 프로그램의 아이콘이 표시되는데, 이를 마우스 오른쪽 버튼으로 클릭하면 해당 프로그램으로 열었던 파일 목록을 확인할 수 있다. Jump List는 두 가지 방식으로 최근 파일을 기록한다. "Recent"는 사용자가 최근에 열었던 파일 목록을 저장하며, "Frequent"는 자주 사용된 파일 목록을 저장한다. 이 두 목록을 통칭하여 점프 리스트라고 한다. 특히, 윈도우 탐색기(Explorer.exe)의 점프 리스트는 사용자가 최근에 방문한 폴더, 실행한 파일 경로 등의 정보를 기록한다. 이를 분석하면 특정 응용 프로그램의 사용 내역, 최근 접근한 폴더 및 문서 등을 확..

티스토리툴바