대표적으로 프로세스의 실행횟수 여부는 프리패치, 이벤트로그, 레지스트리에 남게 된다.
이벤트로그는 기본적으로 프로세스 실행여부추적이 설정되지않기 때문에 secpol.msc을 실행시킨 뒤 추적으로 설정해주어야함
1. 윈도우즈 XP
1) 프리패치
- 프로그램 실행 시 2개의 프로세스가 실행되면 이것도 추가적으로 올라감 (20번 실행하면 40번 실행됨)
2) 레지스트리
- 처음엔 0이나 실행시킬 경우 +5가 되어 6이됨
- 그다음부터는 1씩 증가함
- 데이터파일을 마우스 오른쪽 클릭 후 목록에서 프로그램을 실행할 경우 레지스트리에 남지 않음
3) 이벤트 로그
- 프리패치와 동일함
2. 윈도우 7,8
1) 레지스트리, 이벤트로그는 XP와 동일함
2) 프리패치
- 프로그램 실행 시 추가적인 프로세스가 실행되면 XP에서는 모두 증가되었으나 (20일 경우 40으로)
- 여기서는 20회 다올라가지 않고 가변적으로 올라감
3. 결론
1) 가장 정확한 것은 이벤트로그
2) 프리패치, 레지스트리에 남으녀 한번은 실행된 것은 맞으나 실행횟수는 믿을 수 없음
3) 마우스 오른쪽 버튼을 통해 실행될 경우 레지스트리에 남지 않음. 직접 찾아가 아이콘을 실행해야 결과가 남음
'보안 > 포렌식' 카테고리의 다른 글
Shortcut (0) | 2015.11.04 |
---|---|
[Sleuth Kit] fls - 이미지 파일 목록 추출 (0) | 2015.11.02 |
Extensible Storage Engine (0) | 2015.07.06 |
증거 수집 (0) | 2015.02.17 |
침해사고 (0) | 2015.02.16 |