devskim blog
Search
🕯️

윈도우 아티팩트

sections
포렌식
포렌식
Tags
forensic
Created
Jun 9, 2023 08:10 PM
Last Updated
Jul 30, 2023 09:49 AM
 
 
아티팩트 종류RegistryPrefetchAmcacheWER (Windows Error Reporting)Scheduled TaskLNK (LinkFile)JumplistWindows TimelineEventLogETL(Event Trace Log)Zone IdWMI(Windows Management Instrumentation)SRUM (System Resource Usage Monitor)기타PE (Portable Executable)Living-off-the-land 공격ADS (Alternate Data Stream)
 
 

아티팩트 종류

 

Registry

  • 레지스트리는 Windows 운영 체제에서 시스템 구성, 하드웨어 드라이버, 설치된 소프트웨어, 사용자 설정 등과 관련된 정보를 유지하고 관리하는 데 사용됩니다.
  • 시스템 설정 변경, 프로그램 설치 또는 제거, 사용자 계정 관리 등과 같은 작업을 수행할 때 레지스트리가 사용됩니다.
 

Prefetch

  • 프리패치는 데이터를 사전에 미리 읽어와 캐시에 저장하는 방식으로 작동합니다.
  • 예를 들어, 운영 체제나 애플리케이션은 다음에 필요한 데이터를 예측하여 사전에 메모리에 로드합니다.
  • 이렇게 함으로써 데이터에 접근할 때 디스크나 네트워크의 지연 시간을 대기하는 시간을 줄여 처리 속도를 향상시킬 수 있습니다.
 

Amcache

  • Amcache는 "Application Compatibility Cache"의 약자로, 실행된 응용 프로그램 및 실행 파일의 정보를 저장하는 캐시입니다.
  • 이 캐시는 Windows 운영 체제에서 응용 프로그램의 호환성을 관리하고 향상시키는 데 사용됩니다.
 

WER (Windows Error Reporting)

  • Windows Error Reporting (WER)는 마이크로소프트 윈도우 운영 체제에서 발생하는 응용 프로그램 및 시스템 오류에 대한 정보를 수집하고 보고하는 기능입니다.
  • WER은 사용자의 동의 하에 작동하며, 오류가 발생한 경우 해당 정보를 마이크로소프트에 자동으로 보고하여 오류 분석 및 문제 해결을 지원합니다.
 

Scheduled Task

  • Scheduled Task는 컴퓨터 시스템에서 예약된 시간 또는 특정 이벤트에 따라 실행되는 작업입니다.
  • 이 작업은 일련의 동작 또는 명령을 자동으로 수행하는 데 사용됩니다.
  • Windows 운영 체제에서는 Task Scheduler라는 도구를 통해 Scheduled Task를 관리하고 구성할 수 있습니다.
 

LNK (LinkFile)

  • LNK는 Windows 운영 체제에서 사용되는 파일 확장자입니다.
  • LNK 파일은 "바로 가기" 또는 "링크" 파일로 알려져 있으며, 사용자가 쉽게 프로그램, 파일 또는 폴더에 액세스할 수 있도록 도와줍니다.
 

Jumplist

  • Jumplist는 Windows 운영 체제에서 작업 표시줄 또는 시작 메뉴에서 프로그램의 최근 항목 또는 자주 사용되는 기능에 빠르게 액세스할 수 있는 기능입니다.
  • Jumplist는 사용자가 특정 프로그램을 마우스 오른쪽 클릭하거나 프로그램 아이콘을 왼쪽으로 스와이프하여 열 수 있는 컨텍스트 메뉴를 통해 제공됩니다.
notion image
 
 

Windows Timeline

  • Windows Timeline은 Windows 10 운영 체제에서 제공되는 기능 중 하나로, 사용자의 작업 이력과 활동을 시간순으로 추적하고 관리하는 기능입니다.
  • Windows Timeline은 사용자가 어떤 앱을 실행하고 어떤 파일을 열었는지, 웹 페이지를 방문했는지, 문서를 편집했는지 등의 작업을 기록하여 사용자가 이전에 수행한 작업을 쉽게 찾고 다시 시작할 수 있도록 도와줍니다.
 

EventLog

  • 이벤트 로그는 운영 체제나 응용 프로그램에서 발생하는 다양한 이벤트와 관련된 정보를 기록하는 시스템의 기능 또는 기록 자체를 의미합니다.
  • 이벤트 로그는 컴퓨터 시스템의 상태, 작업, 경고, 오류 등에 대한 정보를 기록하여 문제 해결, 모니터링, 보안 감사 등의 목적으로 사용됩니다.
 

ETL(Event Trace Log)

  • Event Trace Log (ETL)은 Windows 운영 체제에서 생성되는 이벤트 로깅 데이터를 포함하는 이진 로그 파일입니다.
  • 이 로그 파일은 Windows 이벤트 추적 도구인 Event Tracing for Windows (ETW)를 사용하여 수집된 이벤트 정보를 저장합니다.
 

Zone Id

  • Windows에서 영역 식별자(Zone Identifier)는 파일이나 네트워크 리소스가 어떤 보안 영역에 속하는지를 나타내는 값입니다.
  • 사용자가 다른 보안 영역에서 로컬 시스템으로 파일을 저장할 때 자동 생성되는 식별자를 의미한다.
  • 이 값은 파일이나 리소스가 인터넷에서 다운로드되었을 때 사용되며, 보안 정책에 따라 파일의 실행 가능성과 권한 부여 등에 영향을 줍니다.
notion image
 
 

WMI(Windows Management Instrumentation)

  • WMI는 "Windows Management Instrumentation"의 약자로, Microsoft Windows 운영 체제에서 시스템 관리와 모니터링을 위한 인프라스트럭처 기술입니다.
  • WMI는 시스템의 하드웨어, 소프트웨어, 네트워크 등 다양한 요소에 대한 정보를 수집, 관리 및 제어할 수 있는 인터페이스를 제공합니다.
 

SRUM (System Resource Usage Monitor)

  • SRUM은 "System Resource Usage Monitor"의 약자로, Windows 운영 체제에서 사용되는 기능입니다.
  • SRUM은 시스템 리소스 사용 정보를 수집하여 기록하고, 이를 통해 시스템의 성능, 자원 사용, 애플리케이션 동작 등을 모니터링하는 데 사용됩니다.
 
 

기타

 

PE (Portable Executable)

  • PE(Portable Executable) 파일은 Microsoft Windows 운영 체제에서 실행 가능한 실행 파일 형식입니다.
  • PE 파일 형식은 Windows 운영 체제에서 프로그램, DLL(Dynamic Link Library), 드라이버 등의 실행 파일을 표현하는 데 사용됩니다.
 

Living-off-the-land 공격

  • Living-off-the-land 공격은 주로 시스템에 이미 존재하는 실행 파일, 스크립트 언어, 관리 도구 등을 활용하여 공격을 수행합니다.
  • 이를 통해 공격자는 시스템 내에서 이상 징후를 일으키지 않고, 보안 솔루션에서 탐지하기 어려운 공격을 수행할 수 있습니다.
 

ADS (Alternate Data Stream)

  • Windows 운영 체제에서는 "파일이름:대체데이터스트림이름"의 형식으로 대체 데이터 스트림을 참조합니다.
  • 예를 들어, "myfile.txt:metadata"는 "myfile.txt"라는 파일에 대한 "metadata"라는 이름의 대체 데이터 스트림을 나타냅니다.
  • 대체 데이터 스트림은 주로 NTFS 파일 시스템에서 지원되며, FAT 파일 시스템 등 일부 다른 파일 시스템에서는 지원되지 않을 수 있습니다.
PREV포렌식 컨퍼런스
NEXTAndroid, iOS 파티션