<aside> 🔥 취약점 분석 트랙 박상준

</aside>

윈도우 아티팩트를 이용해 포렌식 분석을 할 수 있다. EventTranscript.db는 윈도우 이벤트를 기록하는 SQLite 데이터베이스로, 브라우징 기록, 장치 연결과 설정, 소프트웨어 설치 및 설정 등 6가지 유형의 이벤트를 기록한다. 이벤트 로그들은 JSON 형태로 기록되며, 이를 파싱해 브라우저 히스토리, PnP Driver 히스토리, 소프트웨어 인벤토리 등을 추출할 수 있다.

윈도우 아티팩트란

• 윈도우에서 어플리케이션/윈도우 사용하면서 남겨지는 사용 흔적이다.
• 시스템에서 생성된 증거는 생성 증거와 보관증거 2가지로 분류되는데, 아티팩트는 생성 증거이다.
• 생성 증거 : System과 Application이 자동적으로 생성한 데이터들

→ ex) 레지스트리, 프리패치/수퍼패치, 이벤트 로그 등등

• 보관 증거 : 사람의 상상과 감정을 표현하기 위해서 작성한 데이터

→ ex) “직접”작성한 메일, Blog or SNS, 문서 등

윈도우 아티팩트 종류들

• LNK 파일 → 바로가기, 빠른 실행 등에 생성되는 파일
• JumpList → 자주 사용한 문서와 프로그램 관리하는 링크파일
• ShellBags → 접근한 폴더 정보를 저장한 레지스트리

…등등 많은 윈도우 아티펙터를 이용해 포렌식해볼 수 있는 것들이 많다.