문제
An investigator (you) found a new artifact on Windows 10. Analyze this artifact and listing user’s activities in chronological order.
목표
사용자의 시간순 작업행위 분석
풀이
database 타입의 ActivitiesCache.db를 분석한다. 일반적인 사용자 계정의 경우 %UserProfile%\AppData\Local\ConnectedDevicesPlatform{계정명}에 위치한다.
Activity 테이블은 사용자 행위 기록한다.
- AppID: 실행한 프로그램 이름
- AppActivityId: MS사의 고유 ID, 실행파일 이름, 접속 URL 정보 등
- Payload: “displayText”를 통해서 실행한 파일과 그에 필요한 app이름
- Unix 시간 타입으로 저장
- Activity_PackageID 테이블: 실행파일 경로, 이름, 유효시간 저장
DB 타입이므로 SQL 쿼리문을 통해 분석할 수도 있다.
select AppId, AppActivityId, Payload, datetime(StartTime,'unixepoch','localtime'),datetime(EndTime,'unixepoch','localtime'), datetime(ExpirationTime,'unixepoch','localtime') as HH from Activity order by HH desc위의 쿼리문을 사용하면 AppID, AppActivityId, Payload와 함께 변환한 시간을 정렬하여 출력할 수 있다.
where payload like ‘%display%’ 절을 추가하여 display가 포함된 항목만 추출할 수도 있다.
쿼리 결과를 CSV 파일로 별도로 저장한 다음 살펴본다.
display text를 통해 파일의 이름, 경로 등 확인 가능하다. appid를 통해서는 사용자가 어떤 프로그램을 사용했는지 확인할 수 있다.
