1. Event Logs
Windows에서 시스템 로그를 남기는 방식
이벤트 뷰어를 통하여 확인
시스템 로그, 응용프로그램 로그, 보안 로그 등
1) Application
- 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록
- 기록할 이벤트 유형은 응용프로그램 개발자가 결정
2) Security
- 리소스 사용 이벤트
- 로그인 성공/실패
- 보안 정책 변경 등의 보안 이벤트
- 기록할 이벤트 유형은 관리자가 변경
3) Setup
- 응용프로그램 설치 및 설정 이벤트
4) 응용프로그램 및 서비스 로그
- IE, Ms Office 및 Windows Application 등에서 생성하는 로그
- Windows Defender, Partition Diagnostic(USB 연결), WLAN Autoconfig(Wifi 연결) 등
Event Viewer
이벤트 ID 검색
- https://kb.eventtracker.com/
- https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx
2. VSS (Volume Shadow Copy Service)
특정 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능
시스템 복원 기능: 컴퓨터 전체를 복원 지점으로 되돌리기, 특정 파일 혹은 폴더만 이전 버전으로 되돌리기
vssadmin list shadowsShadowExplorer
3. Windows Search
windows 검색 기능
windows Indexing
검색 기능을 구현하기 위하여 미리 indexing
파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성을 indexing
텍스트가 포함된 파일의 경우, 콘텐츠가 indexing
windows.edb
경로: %ProgramData%\Microsoft\Search\Data\Applications\Windows
WinSearchDBAnalyzer
4. Recycle Bin
파일 삭제, 복원, 영구 삭제
볼륨 단위로 생성됨
경로: [Volume]$Recycle.Bin[SID]\
- 삭제된 파일: $R[임의문자열6자리].[원본 파일 확장자]
- 삭제된 파일 메타 데이터: $I[임의문자열6자리].[원본 파일 확장자]
파일 복원: $R파일은 삭제, $I는 남아있음
휴지통 비우기: $R, $I 모두 삭제
