본문 바로가기

보안/포렌식

프로세스 실행 횟수 확인


대표적으로 프로세스의 실행횟수 여부는 프리패치, 이벤트로그, 레지스트리에 남게 된다. 


이벤트로그는 기본적으로 프로세스 실행여부추적이 설정되지않기 때문에 secpol.msc을 실행시킨 뒤 추적으로 설정해주어야함




1. 윈도우즈 XP


1) 프리패치 

 - 프로그램 실행 시 2개의 프로세스가 실행되면 이것도 추가적으로 올라감 (20번 실행하면 40번 실행됨)


2) 레지스트리

 - 처음엔 0이나 실행시킬 경우 +5가 되어 6이됨

 - 그다음부터는 1씩 증가함

 - 데이터파일을 마우스 오른쪽 클릭 후 목록에서 프로그램을 실행할 경우 레지스트리에 남지 않음


3) 이벤트 로그

 - 프리패치와 동일함



2. 윈도우 7,8 


1) 레지스트리, 이벤트로그는 XP와 동일함


2) 프리패치

 - 프로그램 실행 시 추가적인 프로세스가 실행되면 XP에서는 모두 증가되었으나 (20일 경우 40으로) 

 - 여기서는 20회 다올라가지 않고 가변적으로 올라감



3. 결론


1) 가장 정확한 것은 이벤트로그


2) 프리패치, 레지스트리에 남으녀 한번은 실행된 것은 맞으나 실행횟수는 믿을 수 없음


3) 마우스 오른쪽 버튼을 통해 실행될 경우 레지스트리에 남지 않음. 직접 찾아가 아이콘을 실행해야 결과가 남음



'보안 > 포렌식' 카테고리의 다른 글

Shortcut  (0) 2015.11.04
[Sleuth Kit] fls - 이미지 파일 목록 추출  (0) 2015.11.02
Extensible Storage Engine  (0) 2015.07.06
증거 수집  (0) 2015.02.17
침해사고  (0) 2015.02.16