ํด๋น ๊ฐ์๋ฅผ ์๊ฐํ๋ฉฐ ์ ๋ฆฌํ ๋ด์ฉ์ ๋๋ค.
[๋ฌด๋ฃ] ๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ - ์ธํ๋ฐ | ๊ฐ์
๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ ๊ฐ์์ ๋๋ค. ๊ฐ์๋ฅผ ๋ฐ๋ผํ๋ค๋ณด๋ฉด "๋ฌผ ํ๋ฅด๋ฏ, ์์ฐ์ค๋ฝ๊ฒ" ์ค๋ ฅ์ด ๋์ด๊ฐ๋ ๊ฐ์๋ฅผ ์ถ๊ตฌํฉ๋๋ค., ์ด๋ณด์ ๋๋์ด์ ๋ฑ ๋ง์ถ, ์๋ฆฌ๋ฅผ ์ดํดํ๋ ๋์งํธํฌ๋ ์ ์
www.inflearn.com
1. AmCahce & ShimCache
์์ฉ ํ๋ก๊ทธ๋จ๊ณผ ์ด์์ฒด์ ์ ํธํ์ฑ์ ์ํด ์กด์ฌํ๋ ์บ์์ด๋ค.
์ด์์ฒด์ ๊ฐ ์ ๋ฐ์ดํธ ๋๋ฉด DLL์ด ์์ฑ ํน์ ์ญ์ ๋๋ฉด์ ํธํ์ฑ ๋ฌธ์ ๊ฐ ๋ฐ์ํ๋ค.
Windows์์๋ ํ๋ก๊ทธ๋จ ํธํ์ฑ ๊ด๋ฆฌ์๋ฅผ ์ด์ฉํ์ฌ ์ด ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๋ค.
-> ์ด๋, AmCache์ ShimCache๋ฅผ ์ฌ์ฉํ๊ฒ ๋๋ค.
Amcache
- ๋ชจ๋ ์คํ ํ์ผ์ ์ด๋ฆ, ๊ฒฝ๋ก, ํฌ๊ธฐ, ํด์ ๊ฐ์ ํ์ธํ ์ ์๋ค.
ShimCache
- AppCompatCache์ด๋ผ๊ณ ๋ ๋ถ๋ฆฐ๋ค
- ์คํ ํ์ผ์ ์ด๋ฆ, ๊ฒฝ๋ก, ํฌ๊ธฐ ์ ๋ณด, ๋ง์ง๋ง ์คํ ์๊ฐ์ ํ์ธํ ์ ์๋ค.
File Path
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
Amache.hve
AmCache์ ShimCache ๋ถ์
(1) AmcacheParser, AppCompatCacheParser๋ฅผ ๋ค์ด๋ก๋
MDwiki
ericzimmerman.github.io
*CLI ๋ก ๋์ํจ
FTK Imager๋ก ํ์ผ ์ถ์ถ
-f ์ต์ ๋ค์ ํ์งํ Amcache.hve file์ ์์น๋ฅผ ์ง์ ํ๊ณ ,
--csv ์ต์ ๋ค์๋ csv ํ์ผ์ ์ ์ฅํ ๊ฒฝ๋ก๋ฅผ ์ง์ ํ๋ค. (ํ์ฌ ๊ฒฝ๋ก)
AmcacheParser.exe -f ./registry/Amcache.hve --csv ./
- Amcache_UnassociatedFileEntries.csv ํ์ผ (์์ - ์ด ๋๋น ์๋ ๋ง์ถค)
Application Name, Program ID, Path ๋ฑ์ ํ์ธํ ์ ์๋ค.
- AppCompatCache
AppCompatCache ํ์ผ์ ํด๋ฆญํ๋ฉด ๋ณด์ด๋ ๋ฌธ์์ด์ ํ์ฑํ ๊ฒ์ด๋ค.
๊ด๋ฆฌ์ ๊ถํ์ผ๋ก cmd๋ฅผ ์ด์ด AppCompatCacheParser๋ฅผ ์คํํ๋ค.
์ด๋, -f ์ต์ ์ ์ง์ ํ์ง ์์ผ๋ฉด PC ๋ด์ ๋ ์ง์คํธ๋ฆฌ๋ฅผ ์๋์ผ๋ก ์์งํด์ค๋ค.
- Windows10Creators_์ฌ์ฉ์ ๊ณ์ _AppCompatCache.csv ํ์ผ
Path, ์์ฉ ํ๋ก๊ทธ๋จ์ ๋ง์ง๋ง ์คํ ์๊ฐ, ์์ฉ ํ๋ก๊ทธ๋จ์ ๋ง์ง๋ง ๋ณ๊ฒฝ ์๊ฐ ๋ฑ์ ํ์ธํ ์ ์๋ค.
2. ๋ธ๋ผ์ฐ์ ์ํฐํฉํธ
Web Browser: Chrome, Edge, Whale ๋ฑ๊ณผ ๊ฐ์ด ์ธํฐ๋ท์ ์ด์ฉํ๊ธฐ ์ํด ์คํํ๋ ์์ฉ ํ๋ก๊ทธ๋จ
Web Brower๋ฅผ ํตํด ์น ๊ฒ์, ๋ก๊ทธ์ธ, ํ์ผ ๋ค์ด๋ก๋, ์์ ์์ฒญ ๋ฑ์ ํ ์ ์์ผ๋ฏ๋ก ์ด๋ ๋งค์ฐ ์ค์ํ ๋ฐ์ดํฐ๊ฐ ๋ ์ ์๋ค์ผ๋ฉฐ, ํ์ธํ ์ ์๋ ๋ฐ์ดํฐ์ ์ข ๋ฅ๋ ์๋์ ๊ฐ๋ค.
- History: ๋ฐฉ๋ฌธํ URL, ๋ฐฉ๋ฌธ ํ์, ๋ฐฉ๋ฌธ ์๊ฐ ๋ฑ
- Cache: ์บ์๋ก ์ ์ฅ๋๋ ์ด๋ฏธ์ง, ํ ์คํธ, ์คํฌ๋ฆฝํธ, ์์ด์ฝ, ์๊ฐ, ํฌ๊ธฐ ๋ฑ
- Cookie: ์ฌ์ฉ์ ๋ฐ์ดํฐ, ์๋ ๋ก๊ทธ์ธ ๋ฑ
- Download list: ์ ์ฅ ๊ฒฝ๋ก, URL, ํฌ๊ธฐ, ์๊ฐ, ์ฑ๊ณต ์ฌ๋ถ ๋ฑ
File Path
- Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default
- Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache
- Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default
Chrome ์ํฐํฉํธ ๋ถ์
history ํ์ผ์ ํ์ธํ ์ ์๋ค (DB ํ์ผ)
ํด๋น ํ์ผ์ ๋ณด๊ธฐ ์ํด DB Browser for SQLite๋ฅผ ๋ค์ด๋ก๋ํ๋ค.
Version 3.12.2 released - DB Browser for SQLite
This is a minor maintenance release, primarily to update the internal certificates for anonymous communication with the DBHub.io servers. You don’t need to upgrade unless you’re using DBHub.io anonymously. If you’re using DBHub.io with your own clien
sqlitebrowser.org
ํฌ๋กฌ ๋ธ๋ผ์ฐ์ ๋ฅผ ๋ชจ๋ ์ข ๋ฃ ํ ํ์ผ์ ์ด ์ ์๋ค.
- ๋ฐ์ดํฐ ๋ณด๊ธฐ
downloads์ id ํ๋๋ฅผ ๊ธฐ๋ฐ์ผ๋ก downloads_url_chains๋ฅผ ํ์ธํ๋ฉด ๋ค์ด๋ก๋๊ฐ ์งํ๋ URL์ ์ ์ ์๋ค.
urls์์ ์ด๋ค URL์ ์ ์ํ๋์ง, ์ ์ ํ์, ๋ง์ง๋ง ์ ์ ์๊ฐ ๋ฑ์ ํ์ธํ ์ ์๋ค.
Edge ์ํฐํฉํธ ๋ถ์
๋ถ์ ๋์ ํ์ผ์ธ WebCacheV01.dat๋ฅผ exportํด์ค๋ค. (์ฌ๊ธฐ์ ์ ๋ณด ๋ค ์์)
- ์๋์ฐ์์ ์ก๊ณ ์๊ธฐ ๋๋ฌธ์ ํ์ผ์ drag n drop ํด์ฃผ๋ฉด ์ด๋ฆฌ์ง ์๊ธฐ ๋
- ์ ์์ ์ธ ๋ฐฉ๋ฒ์ ์๋
ํด๋น ํ์ผ์ ๋ถ์ํ๊ธฐ ์ํด ESEDatabaseView๋ฅผ ๋ค์ด๋ก๋ํ๋ค.
View / Open ESE Database Files (Jet Blue / .edb files)
ESEDatabaseView is a simple utility that reads and displays the data stored inside Extensible Storage Engine (ESE) database (Also known as Jet Blue or .edb file).
www.nirsoft.net
ESEDatabaseView ๋ฅผ ํตํด ํ์ผ์ ์ด์ด์ค๋ค.
1๋ฒ ์ปจํ ์ด๋ - ์ ์ ๊ธฐ๋ก url ๋ค์ ํ์ธํ ์ ์๋ค.
+)
๋ธ๋ผ์ฐ์ ๋ณ๋ก ๊ถ์ฅ๋๋ ๋๊ตฌ๊ฐ ์กด์ฌํ๋๋ฐ Chrome์ ๊ฒฝ์ฐ ChromeCacheView์ Hindsight๊ฐ ๊ถ์ฅ๋๊ณ ,
Edge์ ๊ฒฝ์ฐ IE10Analyzer์ ESEDatabaseView๊ฐ ๊ถ์ฅ๋๋ค.
Whale์ ๊ฒฝ์ฐ Carpe Forensics๊ฐ ๊ถ์ฅ๋๋ค
3. ThumbnailCache / IconCache
ThumbnailCache
- ์ธ๋ค์ผ(Thumbnail)์ ๋ฏธ๋ฆฌ๋ณด๊ธฐ ํ์ผ์ ์๋ฏธํ๋ค.
- Windows์์๋ ์ธ๋ค์ผ ์ฌ์ง๋ค์ ๋ฏธ๋ฆฌ ์์ฑํ์ฌ ๋ณด๊ดํ๊ณ ์๋ค.
- ํฌ๋ ์์ ์๋ฏธ
- ThumbnailCache๋ ๋ถ์ ๋์ PC์ ํด๋น ํ์ผ์ด ์กด์ฌํ์์์ ๋ํ๋ธ๋ค. (ํด๋น ํ์ผ์ด ์ญ์ ๋๋๋ผ๋ ThumbnailCache๋ ์ฌ๋ผ์ง์ง ์๋๋ค.)
IconCache
- Windows ์์ด์ฝ(Icon)์ ๋ณด์ฌ์ฃผ๊ธฐ ์ํด์ ๊ฐ์ง๊ณ ์๋ ์บ์๋ฅผ ๋งํ๋ค.
- ์ผ๋ฐ์ ์ธ ํด๋๋ ํ์ผ์ ๊ณตํต์ ์์ด์ฝ์ ์ฌ์ฉํ๊ณ , ์์ฉ ํ๋ก๊ทธ๋จ์ ๋ณ๋์ ์์ด์ฝ์ ์ฌ์ฉํ๋ค.
- Windows์์๋ ์์ด์ฝ ์ฌ์ง๋ค์ ๋ณ๋์ ๊ณต๊ฐ์ ๋ชจ์์ ๋ณด๊ดํ๋ค.
- IconCache๋ ๋ถ์ ๋์ PC์ ์กด์ฌํ๋ ์์ฉํ๋ก๊ทธ๋จ์ ์ข ๋ฅ๋ฅผ ํ์ธํ ์ ์๋ค.
- ํฌ๋ ์์ ์๋ฏธ
- ์ธ๋ถ ์ ์ฅ ๋งค์ฒด ์ฌ์ฉ ํ์
- ์ํฐ ํฌ๋ ์ ๋๊ตฌ ์ฌ์ฉ ํ์ , ์ ์ฑ์ฝ๋ ์คํ ํ์ ์ ํ์ ํ ์ ์๋ค. (ํด๋น ์์ฉํ๋ก๊ทธ๋จ์ด ์ญ์ ๋๋๋ผ๋ IconCache๋ ์ฌ๋ผ์ง์ง ์๋๋ค.)
File Path: %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
ThumbnailCache์ IconCache์ ๋ถ์ํ๊ธฐ ์ํด Thumbcache Viewer๋ฅผ ๋ค์ด๋ก๋ํ๋ค.
Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.
Thumbcache Viewer Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files found on Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, and Windows 11. The program comes in two flavors: a
thumbcacheviewer.github.io
Thumbcache Viewer๋ฅผ ํตํด ํ์ผ์ ์ด์ด์ค๋ค.
4. Windows Timeline
Windows + Tab ๋ฒํผ์ ๋๋ฌ ํ์ธํ ์ ์๋ค.
Windows์์ ์ง์ํ๋ Timeline ๊ธฐ๋ฅ
- ์ฌ์ฉ์๊ฐ ์คํํ๊ณ ์๋ ์์ฉ ํ๋ก๊ทธ๋จ
- ์ฌ์ฉ์๊ฐ ๊ณผ๊ฑฐ์ ์คํํ๋ ์์ฉ ํ๋ก๊ทธ๋จ
- ์ต๋ 30์ผ์ ์ฌ์ฉ์ ํ์๋ฅผ ๋ณด๊ด
์ค์ >๊ฐ์ธ ์ ๋ณด ๋ฐ ๋ณด์>ํ๋ ๊ธฐ๋ก์์ ‘์ด ์ฅ์น์ ๋ด ํ๋ ๊ธฐ๋ก ์ ์ฅ’ ์ค์ ์ด ์ผ์ ธ ์์ด์ผ ์ ๋ณด๊ฐ ์ ์ฅ๋๋ค.
Timeline ๋ฐ์ดํฐ ์ ์ฅ ๊ฒฝ๋ก๋ ์ฌ์ฉ์ ๊ณ์ ์ ๋ฐ๋ผ ๊ฒฝ๋ก๊ฐ ๋ฌ๋ผ์ง๋ค.
- ๋ก์ปฌ ๊ณ์ ์ L.{๋ก์ปฌ ๊ณ์ ๋ช }์ ์ฌ์ฉ
- ๋ง์ดํฌ๋ก์ํํธ ๊ณ์ ์ {๋ง์ดํฌ๋ก์ํํธ ์๋ณ์(CID)}๋ฅผ ์ฌ์ฉ
- Office 365 & AAD ๊ณ์ ์ AAD.{๋ณด์ ์๋ณ์(SID)}๋ฅผ ์ฌ์ฉ
File Path: %UserProfile%\AppData\Local\ConnectedDevicesPlatform\{๊ณ์ ๋ช }\ActivitiesCache.db
DB Browser for SQLite๋ฅผ ์ฌ์ฉํ์ฌ ActivitiesCache.db๋ฅผ ํ์ธํ ์ ์๋ค.
ActivitiesCache.db๋ Activity, ActivityOperation, Activity_PackageId๋ก ๊ตฌ์ฑ๋์ด ์๋ค.
- Activity: ์์ฉํ๋ก๊ทธ๋จ ์คํ ๊ธฐ๋ก, ์คํ ์๊ฐ ๋ฑ ๋ณดํต์ Timeline ๋ฐ์ดํฐ
- ActivityOperation: ์์ฑ ํน์ ์ญ์ ์ด๋ฒคํธ์ ๋ํ Timeline ๋ฐ์ดํฐ
- Activity_PackageId: ์ฑ๋ณ ํจํค์ง ์ด๋ฆ
๋์งํธ ํฌ๋ ์ 5์ฃผ์ฐจ ์คํฐ๋
