Artifacts

lnkanalyser v1.0.1Lnk MetadataPath: C:\\Users\\82103\\Desktop\[BOBDF11]강현수중심극한과큰수.docx - 바로 가기.lnkFlags:Attributes: ArchiveShow Command: SWSHOWNORMALN

응용프로그램 별로 그룹화 하고 최근에 실행한 파일 경로 관리.Recent / Frequent / Tasks / Pinned문서 파일 열람 여부프로그램 실행 여부자주 사용하는 파일최근 사용한 파일New Volume IDNew Object IDBirth Volume IDB

파일 명MAC 시간 정보파일 크기Process EXE프로세스 경로실행 횟수마지막 실행 시간Missing Process \* Winprefetch에만 존재. Process Hollowing 기법을 탐지하기 위한 Column해당 기법이 적용된 pf는 정상적으로 동작하지 못

Local / Remote 환경에서 접근한 폴더 정보 기록 (CLI는 X)HKCU\\Software\\Classes\\LocalSettings\\Software\\Microsoft\\Windows\\Shell\\Bags사용자가 특정 폴더 접근한 MAC 시간 a. 사용자

HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCompatCache\\AppCompatCache저장하는 정보의 개수에 제한이 없음호환성 문제 발생한 응용 프로그램 기록파일 경로마지막 수정 시간

시스템에서 실행된 응용 프로그램 목록과 실행횟수 저장ROT 13 Encoding응용 프로그램 목록실행 횟수마지막 실행한 시각

\*C:\\Windows\\appcompat\\Programs\\AmCache.hve모든 실행 파일 목록파일 경로파일의 최초 실행 시간파일 삭제시간 확인Filetime 타임스탬프 (Sync, AEINV_Current.xml과 동기화된 마지막 시간 )파일의 해시값파일 확

다중언어를 지원하기 위해 프로그램 이름을 캐시응용 프로그램 경로응용 프로그램 명참고https://qaos.com/article.php?sid=1704

IDActiviyTypeOrgActivityTypeExecutableDisplay TextContentInfoPayloadClipboardPayloadStartTimeEndtimeDurationLastModifiedTimeLastModifiedTimeOnClientCr

%ProgramData%\\Microsoft\\Search\\Data\\Applications\\Windows\\Windows.edb서비스 - Windows Search(Wsearch) 서비스를 종료한 뒤 수집하여야 함.종료한 후 복사한 뒤 파일의 이름을 변경.esen

Windows XP 까지는 Thumbs.dbWindows Vista부터는 Thumbcache.db를 사용Thumbs.db의 경우 96 \* 96 pixel.Thumbcache의 경우 256, 96, 32 등 다양한 크기로 저장.%UserProfile%\\AppData\

Recycle.bin 폴더 내에는 SID로 구성된 폴더가 존재SID와 일치하는 "사용자 계정"이 해당 계정의 휴지통해당 폴더는 MAC 시간이 기록되어 있음.%systemroot%\\system32\\config\\ => SOFTWARE 하이브 파일을 수집 / 2. \\

History Cache Cookie Download List