윈도우 10 타임라인 분석

RINM·2023년 3월 5일
0

문제

An investigator (you) found a new artifact on Windows 10. Analyze this artifact and listing user’s activities in chronological order.

목표

사용자의 시간순 작업행위 분석

풀이

database 타입의 ActivitiesCache.db를 분석한다. 일반적인 사용자 계정의 경우 %UserProfile%\AppData\Local\ConnectedDevicesPlatform{계정명}에 위치한다.
Activity 테이블은 사용자 행위 기록한다.

  • AppID: 실행한 프로그램 이름
  • AppActivityId: MS사의 고유 ID, 실행파일 이름, 접속 URL 정보 등
  • Payload: “displayText”를 통해서 실행한 파일과 그에 필요한 app이름
  • Unix 시간 타입으로 저장
  • Activity_PackageID 테이블: 실행파일 경로, 이름, 유효시간 저장

DB 타입이므로 SQL 쿼리문을 통해 분석할 수도 있다.

select  AppId, AppActivityId, Payload, datetime(StartTime,'unixepoch','localtime'),datetime(EndTime,'unixepoch','localtime'), datetime(ExpirationTime,'unixepoch','localtime') as HH from Activity order by HH desc

위의 쿼리문을 사용하면 AppID, AppActivityId, Payload와 함께 변환한 시간을 정렬하여 출력할 수 있다.

where payload like ‘%display%’ 절을 추가하여 display가 포함된 항목만 추출할 수도 있다.

쿼리 결과를 CSV 파일로 별도로 저장한 다음 살펴본다.

display text를 통해 파일의 이름, 경로 등 확인 가능하다. appid를 통해서는 사용자가 어떤 프로그램을 사용했는지 확인할 수 있다.

0개의 댓글