이미지를 지정해줘도 되지만 편하게 아티팩트를 수집해 해당 파일만 분석하겠다.
다음의 파일을 수집한다.
1. 인터넷히스토리 파일
경로 : %SystemDrive%\Users\계정\AppData\Local\Microsoft\Windows\WebCache\
2. 레지스트리 파일
파일 |
경로 |
NTUSER.DAT |
%SystemDrive%\Users\계정 |
ntuser.dat |
%SystemDrive%\Users\계정 |
SAM |
%Windir%\System32\config |
SECURITY |
%Windir%\System32\config |
SOFTWARE |
%Windir%\System32\config |
SYSTEM |
%Windir%\System32\config |
3. 이벤트 로그 파일
경로 : D:\Windows\System32\winevt\Logs\
4. $MFT
경로 : %SystemDrive%\$MFT
5. $LogFile
경로 : %SystemDrive%\$LogFile
6. $UsnJrnl:$J
경로 : %SystemDrive%\$Extend\$UsnJrnl:J
7. 프리패치
경로 : %Windir%\Prefetch
8. 바로가기파일(*.LNK)
다음의 경로에서 log2timeline을 다운받는다.
사이트 주소 : https://github.com/log2timeline/plaso/wiki/Windows-Packaged-Release
log2timeline.exe |
출력한 파일을 시간으로 정렬된 sqlite 파일로 변환한다.
psort.exe -z Asia/Seoul -o 4n6time_sqlite -w /path/timeline.db(아웃풋) /path/output.plaso(인풋)
|
'보안 > 포렌식' 카테고리의 다른 글
| APT 분석방법 - 디스크 및 패킷 분석 (0) | 2016.06.08 |
|---|---|
| 윈도우 악성코드 포렌식 (0) | 2016.05.22 |
| Shortcut (0) | 2015.11.04 |
| [Sleuth Kit] fls - 이미지 파일 목록 추출 (0) | 2015.11.02 |
| 프로세스 실행 횟수 확인 (0) | 2015.08.20 |
