Windows Artifacts
- 윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소
- 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체
Registry
- InstallDate - DCode
- InstallTime - Epoch Converter
-- ppt와 드림핵에서 다 배웠던 내용들이라 생략 --
Shellbags
- 사용자가 접근한 폴더 정보 기록함 > 삭제된 폴더의 정보도 찾을 수 있음
- BagMRU: 폴더의 구조 계층적으로 나타냄
- Bag: 윈도우 사이즈, 위치 등 사용자의 환경설정 저장
- 경로
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Microsoft\Windows\Shell\BagMRU
[실습]
- ftk imager 이용해서 레지스트리 파일 추출 (로그 파일 포함 추출)
- [root]\Users\[UserName]\NTUSER.DAT
- [root]\Windows\System32\config\DEFAULT
- [root]\Windows\System32\config\SAM
- [root]\Windows\System32\config\SECURITY
- [root]\Windows\System32\config\SOFTWARE
- [root]\Windows\System32\config\SYSTEM
raw > clean 하고 레그리퍼 다운받기
Hive 파일에 clean 파일 넣고, Report 파일에 result 파일 만들어서 넣음 < 각 파일마다 일일이 다 해주기
다 하고 나면 notepad 로 result 파일들 열어줌
아직 뭘 찾아야 하는지 모르니 regripper plugin 쳐서 목록 대상 찾아보면 좋음
'SWUFORCE > Inflearn' 카테고리의 다른 글
| [인프런 스터디] 6주차 - 바로가기 파일 포렌식(.lnk) 개념 및 실습 (0) | 2026.05.19 |
|---|---|
| [인프런 스터디] 5주차 - 레지스트리 포렌식과 보안 (0) | 2026.05.12 |
| [인프런 스터디] 4주차 - 디지털 증거 획득 & 증거 수집 방안 (0) | 2026.05.05 |
| [인프런 스터디] 3주차 - 섹션 2, 3 (0) | 2026.04.29 |
| [인프런 스터디] 3주차 - 메모리 포렌식 (0) | 2026.04.28 |
