디지털 포렌식 #38 (Artifact)

Plainbit에서 작성한 Artifact 관련 문서가 있어 이를 정리하려고 합니다. 글의 전체 내용은 문서를 근거로 작성되었습니다.

1. Web Broweser Artifacts

1.1 IE / Edge

IE는 ~ 9 와 10 ~ 이후로 각각의 정보들을 관리하는 경로와 방법이 차이가 난다. 10버전부터 index.dat이 아닌 WebcacheV01.dat (기존 index.dat 구성과 달리ESE Database를 기반으로 구성, 하나의 파일로 통합관리)로 관리한다.

Cache에 관한 정보 (~ IE9)
Website URI / Access Time / Cahce File name / Cache Path

%UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

History에 관한 정보 (~ IE9)
Website URI / Access Time / Visit Count / Web Page title / HTTP Header

%UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

• Local file의 열람 기록도 포함되어 있다.

Cookie에 관한 정보 (~ IE9)
Website Domain / Access Time / Cookie Name/Value /Cookie Expire Time / Cookie Created Tim

%UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

Download에 관한 정보 (~ IE9)
Download URI / Download Filename / Download File Local Full Path / Download File Size

%UserProfile%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat

Cache / History / Cookie / Download 에 관한 정보 (IE10 ~)

• IE9과 관리하는 정보가 크게 다르지 않다.

%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
WebCacheV(01|16|24).dat

1.2 Chrome

Cache에 관한 정보
URI / First Access time / Last Access time / Visit count / Cache [Filename, Path, expire time], HTTP Response Header

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cache
\data_[0-4]

History에 관한 정보
URI / First Access time / Last Access time / Web page title / Visit count / Visit duration time / search keyword

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History

Cookie에 관한 정보
URI / Cookie [name,value,last access time] / Secure cookie flag / Httponly Flag / expire flag

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cookies

Download에 관한 정보
Download[URI,Start time, End time, Filename, Path, size]

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History

1.3 Firefox

Cache에 관한 정보
URI / Last Access time / Last Modified time / Visit count / Cache [File name,Path,Expire time]

%UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\\cache2\index

History에 관한 정보
URI / Last Access time / Web page title / Visit count / Search keyword

%UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\\places.sqlite

Cookie에 관한 정보
URI / Cookie[Name, Create time, Expire time, Last Access time]

%UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\\cookies.sqlite

Download에 관한 정보
URI / Download[Start time, End time, Path, File size, Complete flag, File last modified-time at loacl filesystem]

%UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\\places.sqlite

2. File Execution(open) Artifacts

종류 : lnk, jumplist, prefetch, recentfilecache, event log, registry, timeline(activity log)

2.1 lnk

execution time, target volume label, target volume serial number, target file size, target file full path, target drive type, local mac address

Recent: %AppData%\Microsoft\Windows\Recent*.lnk

• MS Office: %AppData%\HNC\Office\Recent*.lnk
• hwp: %AppData%\Microsoft\Office\Recent*.lnk

2.2 jumplist

execution time, execution application, target volume label, target volume serial number, target file size, target file full path, target drive type, local mac address

1. %UserProfile%\AppData\Roaming\Microsoft\Windows\
   Recent\AutomaticDesctinations*.automaticDestinati
   ons-ms
2. %UserProfile%\AppData\Roaming\Microsoft\Windows\
   Recent\CustomDesctinations*.customDestinations-ms

• jumplist의 execution time은 destlist의 lastrecord time이다.

2.3 prefetch

execution time, open file list, volume serial number

%SystemRoot%\Prefetch*.pf

2.4 Recent file cache

execution file full path

%SystemRoot%\AppCompat\Programs\RecentFileCache.bcf

• 실행된 파일경로와 순서만을 파악 가능하다.

2.5 Event log - windows defender

Malware full path, Malware Threat name, Malware Detection time

%SystemRoot%\system32\winevt\Logs\MicrosoftWindows-WindowsDefender%4Operational.evtx

2.6 Event log - Sysmon

Process ID, Process image file full path, parent of current process, process execution time, process permission

%SystemRoot%\system32\winevt\Logs\MicrosoftWindows-Sysmon%4Operational.evt

2.7 Event log - Services

Service name, Service start/stop time

%SystemRoot%\system32\winevt\Logs\System.evtx

2.8 Event log - Security Auditing

Execution file full path, execution time, execution user name, execution host domain

%SystemRoot%\system32\winevt\Logs\Security.evtx

2.9 Registry - Userassist

Execution File full path, execution count, execution time

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{}\Count

• 모든 실행기록이 남는 것은 아님. ROT-13으로 인코딩 되어
  있음.

2.10 Registry - RunMRU

Execution file name, Execution order

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

2.11 Registry - Recentdocs

lnk file name, execution order

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

---

해당 자료는 plainbit에서 작성한 PDF를 근거로 작성되었습니다.

http://blog.plainbit.co.kr/archives/2048