An investigator (you) found a new artifact on Windows 10. Analyze this artifact and listing user’s activities in chronological order.
사용자의 시간순 작업행위 분석
database 타입의 ActivitiesCache.db를 분석한다. 일반적인 사용자 계정의 경우 %UserProfile%\AppData\Local\ConnectedDevicesPlatform{계정명}에 위치한다.
Activity 테이블은 사용자 행위 기록한다.
DB 타입이므로 SQL 쿼리문을 통해 분석할 수도 있다.
select AppId, AppActivityId, Payload, datetime(StartTime,'unixepoch','localtime'),datetime(EndTime,'unixepoch','localtime'), datetime(ExpirationTime,'unixepoch','localtime') as HH from Activity order by HH desc
위의 쿼리문을 사용하면 AppID, AppActivityId, Payload와 함께 변환한 시간을 정렬하여 출력할 수 있다.
where payload like ‘%display%’ 절을 추가하여 display가 포함된 항목만 추출할 수도 있다.
쿼리 결과를 CSV 파일로 별도로 저장한 다음 살펴본다.
display text를 통해 파일의 이름, 경로 등 확인 가능하다. appid를 통해서는 사용자가 어떤 프로그램을 사용했는지 확인할 수 있다.